En muchas ocasiones, suceden casos que vienen a confirmar y recordar la necesidad de que las entidades cumplan con la normativa de protección de datos personales.
Precisamente es el supuesto de esta resolución de la Agencia Española de Protección de Datos (en adelante, AEPD) que ha sancionado a UNIQLO, una conocida empresa textil, por enviar a un trabajador la nómina de 447 empleados.
Los hechos se originan a consecuencia de dos reclamaciones:
- La primera reclamación se interpuso por la primera parte reclamante, que prestaba servicios en la entidad reclamada, y que manifiesta que, tras solicitar su nómina a la entidad, recibió un correo electrónico con un documento PDF adjunto que incluía su nómina y la de 446 trabajadores más de la plantilla.
- La segunda reclamación se forma a partir de recibir la comunicación informativa de la brecha de seguridad enviada por UNIQLO a los empleados afectados mediante correo electrónico. La parte reclamante de esta segunda reclamación manifiesta pertenecer al Comité de Empresa
En vista de los hechos, se procedió por parte de la AEPD a realizar las oportunas actuaciones previas de investigación para el esclarecimiento de los hechos. Como consecuencia de estas actuaciones, se ha tenido conocimiento de los siguientes extremos:
- Constatación de los hechos: el objeto causante de la brecha sería un archivo PDF que contendría la información de toda la plantilla de la entidad relativa a las nóminas del mes de julio.
Por su parte, la parte reclamada admite que, con motivo de la terminación de contrato laboral de la parte reclamante, esta solicitó su nómina de julio al departamento de recursos humanos. Manifiestan que, en el contexto del intercambio de información por correo electrónico, su departamento de recursos humanos envió por error el archivo indicado, con la información de toda la plantilla. Atribuyen este hecho a un error humano, tanto en el documento de notificación de brecha de datos personales como en numerosos puntos de las alegaciones. Igualmente, se indica que dicho archivo contenía los específicos datos personales de nombre, apellido, número de DNI/NIE, número de la Seguridad Social, número de cuenta bancaria y retribución percibida.
El empleado de recursos humanos que remitió el archivo no informó de ello a sus responsables ni lo puso en conocimiento de la empresa, por lo que la brecha no trascendió ni se actuó de forma proactiva ante ella. Únicamente se tuvo constancia, tal como manifiestan, cuando recibieron la notificación del traslado de la reclamación.
2. Comunicación informativa de la brecha a la autoridad de control y a los afectados: puesto que la información de la brecha a la Agencia llegó a través de la reclamación, se solicitó a la parte reclamada la motivación de por qué no fue notificada la brecha.
Como se ha anticipado en el punto anterior, la argumentación presentada por la parte reclamada es que directamente desconocían la existencia de la brecha hasta que recibieron el traslado de la reclamación. Internamente culpan de esta situación a la persona de recursos humanos que incurrió en el envío de la información. Posteriormente realizaron la notificación formal de la brecha de datos personales y se incorporó al expediente.
Igualmente, la parte reclamada manifiesta que se realizó la comunicación del incidente a los interesados a los pocos días de tener conocimiento del mismo.
En la comunicación se manifiesta que no se tiene constancia de evidencias de exfiltración de los datos personales y se indica una referencia al INCIBE para que los afectados puedan consultar recursos adicionales de ciberseguridad.
A este respecto también se indican las medidas que tomará la entidad para tratar de garantizar que no se produzcan más incidentes de este tipo: formación para el personal en ciberseguridad y privacidad de los datos, junto con la revisión de los procedimientos y políticas internas.
3. Gestión de las nóminas: puesto que la brecha se ha originado con motivo de la gestión de nóminas de la empresa, se ha profundizado en su funcionamiento y organización.
No obstante, en este caso particular el encargado del tratamiento, aun siendo una cuestión relativa a las nóminas, no tuvo ninguna implicación en el incidente al circunscribirse internamente al responsable.
4. Medidas de seguridad:
4.1.-Medidas previas al incidente: Se ha requerido por la AEPD a la parte reclamada información sobre las medidas previas al incidente en materia de protección de datos, así como la normativa que desarrolla los protocolos de actuación.
La parte reclamada aporta la siguiente documentación al respecto: el procedimiento para la gestión de incidentes, en el que consta la obligación de comunicar tanto al departamento de seguridad de la información como a su responsable directo cualquier tipo de incidente, aunque no haya sido malintencionado; reglamento básico de seguridad de la información, en el que se hace mención a la obligación de confidencialidad que deben mantener los empleados cuando divulguen activos de información a través de medios digitales, así como la necesidad de informar en caso de pérdida de información; envío de circulares a los empleados con recordatorio de las cuestiones más relevantes desde el punto de vista de protección de datos y seguridad de la información; cláusulas de protección de datos de los empleados y, entre otros, el protocolo de protección de datos del departamento de recursos humanos, en el que consta la necesidad de comunicar al departamento de seguridad de la información cualquier brecha de seguridad.
4.2.-Medidas adoptadas con posterioridad: En relación con el punto anterior, se ha requerido también a la parte reclamada información sobre las medidas tomadas con posterioridad al incidente, enfocadas a evitar que no vuelvan a producirse sucesos de este tipo.
Por su parte, la parte reclamada manifiesta que todas las acciones se han llevado a cabo a partir del traslado de la reclamación por parte de la AEPD. Entre ellas se encuentran las siguientes: el registro interno de la brecha; notificación de la misma a la AEPD; notificación a los afectados y al Comité de Empresa; contratación de servicios jurídicos externos de asesoría en la materia; revisión de los protocolos internos del departamento de recursos humanos y del proceso de envío de nóminas; apertura de expediente disciplinario al empleado de recursos humanos en cuestión; formación a los afectados en la materia enfocada a la protección de las posibles consecuencias, así como formación a los empleados orientada al refuerzo sobre la protección de datos y los protocolos y políticas internas de la empresa. Se acredita que el empleado involucrado completó tales formaciones y recibió las circulares recordatorias en la materia.
5. Exfiltración de los datos afectados: el responsable de seguridad de la información confirma que no se han detectado filtraciones de información ni que los datos hubieran sido publicados en contra de la voluntad de los afectados.
De todo lo obrante en el expediente, la AEPD considera que la entidad, vulneró el artículo 5.1.f) del Reglamento General de Protección de Datos (en adelante, RGPD) al no garantizar debidamente la confidencialidad e integridad de datos de carácter personal de sus trabajadores, al haberse puesto estos en conocimiento de un tercero no autorizado.
Además, considera que desde la entidad se justifican una serie de medidas técnicas y organizativas para preservar la seguridad y la privacidad de sus sistemas de información, pero estas medidas no eran las adecuadas para evitar los hechos objeto de reclamación, por lo que la infracción del artículo 32 del RGPD se produce al no existir medidas que evitasen la vulneración producida. Del mismo modo, se han aportado por la entidad una serie de medidas adoptadas con posterioridad que tampoco pueden ser tomadas en consideración a los efectos de valorar la responsabilidad de la entidad en los hechos.
Además, dice la AEPD que la responsabilidad de la empresa textil viene determinada por la brecha de datos personales puesta de manifiesto en la reclamación, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos, restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente físico o técnico. En este sentido, las medidas no eran apropiadas, independientemente de la brecha de datos personales producida.
Igualmente, la actuación negligente del empleado en la gestión de los datos personales obrantes en las nóminas de los trabajadores no exime de responsabilidad a la entidad. En este sentido, la responsabilidad de la empresa en el ámbito sancionador por la actuación negligente de un empleado que suponga el incumplimiento de la normativa de protección de datos ha sido confirmada por la jurisprudencia del Tribunal Supremo. A este respecto, se trae a colación por la autoridad de control la sentencia de la Sala de lo Contencioso del Tribunal Supremo número 188/2022 de 15 de febrero de 2022 que dispone que “el hecho de que fuese la actuación negligente de una empleada no le exime de su responsabilidad en cuanto encargado de la correcta utilización de las medidas de seguridad que deberían haber garantizado la adecuada utilización del sistema de registro de datos diseñado. Como ya sostuvimos en la STS nº 196/2020, de 15 de febrero de 2021 (rec. 1916/2020) el encargado del tratamiento responde también por la actuación de sus empleados y no puede excusarse en su actuación diligente, separadamente de la actuación de sus empleados, sino que es la actuación «culpable» de éstos, consecuencia de la violación de las medidas de seguridad existentes la que fundamenta la responsabilidad de la empresa en el ámbito sancionador por actos «propios» de sus empleados o cargos, no de terceros”.
Para cuantificar y valorar la sanción, se estima por parte de la AEPD que concurren las circunstancias siguientes:
- La naturaleza, gravedad y duración de la infracción, en los términos del artículo 83.2.a) del RGPD. En este caso, el envío de información por correo electrónico supone un mayor riesgo de filtración de los datos, no sólo por el destinatario del correo, sino debido a la vulnerabilidad en materia de seguridad del correo electrónico ya que, al no estar cifrados los datos, cualquier atacante podría acceder a los datos en tránsito. Además, el número de interesados afectados por la brecha de datos personales es elevado (447).
- Las categorías de los datos de carácter personal afectados por la infracción del artículo 83.2.g) del RGPD. Además de datos personales identificativos de los trabajadores, se filtraron, en el supuesto, datos de carácter financiero como el número de cuenta bancaria y los ingresos que percibían mensualmente los empleados. Las Directrices 04/2022, relativas al cálculo de las sanciones administrativas bajo el RGPD, dictadas por el Comité Europeo de Protección de Datos disponen, en cuanto al requisito de tener en cuenta las categorías de los datos personales afectados, que el RGPD destaca claramente los tipos de datos que merecen una protección especial y, por tanto, una respuesta más estricta en lo que respecta a las multas. Esto se refiere, como mínimo, a los tipos de datos de los artículos 9 y 10 del RGPD y a los datos fuera del ámbito de aplicación de estos artículos cuya difusión provoque daños y perjuicios inmediatos al interesado (por ejemplo, datos de localización, datos sobre comunicaciones privadas, números de identificación nacionales o datos financieros, como resúmenes de operaciones o números de tarjetas de crédito)”.
- La vinculación de la actividad del infractor con la realización de tratamientos de datos personales del artículo 76.2, letra b), de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales. En este sentido, el desarrollo de las actividades de gestión empresarial por la entidad requiere un tratamiento continuo de datos personales de sus trabajadores.
Finalmente, el procedimiento termina con sanción a la entidad de la cuantiosa cantidad de 450.000 euros por infracción del principio de confidencialidad del artículo 5.1.f) del RGPD y de la seguridad de la información previsto en el artículo 32 del RGPD, así como la imposición de adoptar las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales de los trabajadores de la empresa.
No obstante, haciendo uso de la posibilidad de las reducciones por reconocimiento de la responsabilidad y del pago voluntario, la sanción ha quedado reducida en la cantidadde 270.000 euros.
En consecuencia, de esta resolución podemos extraer que hoy en día es imprescindible y no podemos olvidar cumplir con los principios relativos al tratamiento de los datos personales y cuidar de que se adopten las medidas de seguridad adecuadas para garantizar las seguridad de los datos personales. Que, en definitiva, el cumplimiento de la normativa de protección de datos tiene que tratarse como una cuestión prioritaria.
Si quieres conocer otros tipos de brechas de seguridad en materia de protección de datos que puedan afectar a tu entidad pincha aquí y aquí.
