Uniqlo recibe una multa de 450.000 euros por enviar todas las nóminas de la plantilla a una empleada

La firma japonesa textil Uniqlo ha sido sancionada con una multa de 450.000 euros por la Agencia Española de Protección de Datos (AEPD), después de que uno de sus empleados recibiera por error un archivo con información confidencial de 446 trabajadores. La compañía, que filtró los datos personales y bancarios de toda su plantilla en España, admitió el error y no ha recurrido la sanción, lo que le ha permitido beneficiarse de una reducción del 40% en la cuantía final, que se queda en 270.000 euros.

El incidente se remonta a agosto de 2022, cuando una empleada que acababa de terminar su relación laboral con Uniqlo solicitó su nómina al departamento de recursos humanos. En lugar de recibir únicamente su información, la trabajadora recibió un archivo PDF con las nóminas de todos sus compañeros correspondientes al mes de julio. Este archivo contenía datos extremadamente sensibles, como el salario de los trabajadores, sus nombres completos, números de DNI, afiliación a la Seguridad Social y cuentas bancarias. En total, se vieron comprometidas las nóminas de 471 personas, algunas de las cuales habían tenido varias relaciones laborales con la empresa en ese mismo periodo.

Uniqlo atribuyó el incidente a un “error humano” en el intercambio de correos electrónicos. “La parte reclamada admite los hechos y manifiesta que su departamento de recursos humanos envió por error el archivo indicado”, recoge la resolución de la AEPD. Aunque se trató de un fallo humano, la empresa no informó del incidente a los afectados hasta meses después, incumpliendo con la normativa de protección de datos, que establece que las personas afectadas deben ser notificadas de inmediato cuando ocurre una filtración de este tipo.

Uniqlo no comunicó la filtración de los datos a sus empleados hasta marzo de 2023, ocho meses después de que ocurriera el incidente. Fue solo cuando la empleada que recibió el archivo presentó una reclamación ante la AEPD y el comité de empresa interpuso una queja adicional en mayo, que la compañía informó finalmente a los afectados. Para entonces, 160 de los trabajadores ya no formaban parte de la empresa.

La compañía se defendió ante la AEPD, alegando que la dirección no tuvo constancia del incidente hasta que la agencia se puso en contacto con ellos, justificando así el largo periodo de tiempo entre la filtración y la comunicación oficial a la plantilla. Sin embargo, la AEPD concluyó que este retraso y la falta de medidas preventivas adecuadas constituían una violación grave de la normativa.

La AEPD ha determinado que Uniqlo es responsable de dos infracciones de la normativa de protección de datos: la primera, por no garantizar la seguridad de los datos sensibles de sus trabajadores, y la segunda, por no aplicar las medidas correctivas necesarias para prevenir este tipo de incidentes. Ambas infracciones suman un total de 450.000 euros en sanciones. No obstante, Uniqlo ha optado por acogerse a las bonificaciones que ofrece la ley para reducir la multa: un 20% por asunción de responsabilidad y otro 20% adicional por el pronto pago de la sanción. Gracias a estas reducciones, el importe final de la multa se ha quedado en 270.000 euros.

La AEPD también ha ordenado a la firma japonesa que adopte medidas preventivas más estrictas para evitar que situaciones similares se repitan en el futuro, instando a la empresa a garantizar un nivel adecuado de seguridad en el manejo de datos sensibles. El incidente ha puesto de manifiesto la importancia de contar con protocolos sólidos para la gestión de la información confidencial y la rápida respuesta en caso de fallos.

Este caso refleja los riesgos asociados a la gestión inadecuada de datos en las empresas, especialmente cuando se trata de información tan delicada como las nóminas y los datos personales de los empleados. Aunque Uniqlo ha atribuido el incidente a un simple error humano, la AEPD ha dejado claro que las empresas tienen la obligación de implementar medidas de seguridad adecuadas y de actuar con rapidez cuando ocurre una brecha de datos. En el contexto actual, donde el manejo digital de información es crucial para la operativa diaria, las filtraciones de datos pueden acarrear graves consecuencias legales y financieras para las empresas, además de suponer un daño reputacional significativo.