1. A mediados de agosto se difundía muy ampliamente en medios de comunicación y redes sociales (basta hacer una búsqueda con el nombre de la empresa para confirmar tal afirmación) que la Agencia Española de Protección de Datos (AEPD) había impuesto una sanción económica la empresa UNIQLO Europe, LTD, sucursal en España por vulneración de la normativa sobre protección de datos, si bien algunas informaciones indicaban que la cuantía de dicha sanción era de 450.000 euros, mientras que en otras se informaba de la sanción de 270.000 euros, siendo estas últimas las que facilitaban la información correcta, al haber abonado la empresa dicha cantidad por haber reconocido su responsabilidad en la brecha de protección de datos y hacer uso de la posibilidad de reducción de la cuantía de la sanción prevista en el acuerdo de inicio de procedimiento sancionador abierto por la AEPD .
También la
doctrina laboralista se ha hecho ya eco de esta importante sanción. El profesor
Cristóbal Molina, director del Laboratorio-Observatorio de RiesgosPsicosociales de Andalucía (LARPSICO) ha destacado, muy acertadamente a mi
parecer, en su cuenta de la red social Facebook, que “ya quisiera la ITSS tener
el poder sancionador efectivo que tiene la Agencia Española de Protección de
Datos: el trabajador encargado de gestión de nóminas comete un error, envía las
nóminas de 446 trabajadores a un trabajador de la plantilla, y la AEPD le impone
una multa de 450.000 euros a la empresa por una doble violación del RGPD. Multa
que la empresa paga sin rechistar acogiéndose a la doble reducción prevista por
pronto pago (le cuesta la "broma" 270.000 euros). La negligencia
laboral no excusa de responsabilidad a la empresa, aunque me temo que el
trabajador tendrá una dura sanción...”.
Si bien es lógico que
la atención mediática se concentrara en la sanción económica, la lectura atenta
del expediente es de muy recomendable lectura para poder analizar debidamente como se llegó a cometer
por una empresa de la importancia que tiene la afectada ese “error humano” que
le ha acabado costando una importante cuantía económica. Este es el propósito
de estas notas, en las que iré siguiendo la Resolución por la que se acordó iniciar
el procedimiento sancionador, para ir desgranando los contenidos que, al menos
a mi parecer, son los más importantes de la misma.
2. Antes, me permito
hacer referencia a algunas aportaciones doctrinales de carácter general sobre
la protección de datos personales que son de bastante interés en el ámbito
laboral.
En primer lugar, el artículo de la profesor Ana
Belén Muñoz “El proyecto europeo GDPíR sobre protección de datos de carácter
personal: primeros resultados” , en el que se explica que
“... Uno de los
objetivos principales del proyecto es proporcionar a los representantes
sindicales del sector de la industria (concretamente, el sector del metal)
información y formación adecuada para gestionar las dinámicas relacionadas con
el tratamiento de datos de los trabajadores. Si bien el análisis de los datos
de las personas trabajadoras es normalmente gestionado por las empresas, el
proyecto se dirige a los representantes sindicales para que éstos desempeñen un
papel relevante en el tratamiento de los datos con el propósito de mejorar las
condiciones de los trabajadores (por ejemplo, en materia de salarios,
organización del trabajo y seguridad y salud). Además, las mismas habilidades y
conocimientos son fundamentales para permitir que las organizaciones de
trabajadores los protejan de los posibles riesgos como consecuencia de una
datificación excesiva (control intensificado del trabajo y de las personas
empleadas; toma de decisiones basada en datos)”.
En segundo lugar, la monografía del
profesor Jesús Mercader Protección de datos y garantía de los derechos
digitales en las relaciones laborales , en el que se abordan entre otras cuestiones
“... las limitaciones al
tratamiento de datos especialmente sensibles, en particular, el de afiliación
sindical; las aplicaciones legales del interés legítimo para facilitar el
tratamiento de los datos de contacto o de los vinculados a operaciones
mercantiles; la regulación sobre alcance y límites de los canales de denuncia,
las peculiaridades laborales que observa la figura del Delegado de Protección
de Datos o, en fin, el régimen sancionador...”.
Por fin, conviene siempre acudir al imprescindible blog del profesor Ignasi Beltrán de Heredia, en el que pueden encontrase, en “Etiqueta de protección de datos”, comentarios jurisprudenciales de indudable interés 3. En los antecedentes del expediente, iniciado el 5 de julio de 2024 por la AEPD, conocemos que existieron dos reclamaciones por posible infracción de la normativa de protección de datos, presentadas el 31 de marzo de 2023 contra la citada empresa.
La primera,
interpuesta por una persona trabajadora que había finalizado su relación contractual
con la empresa y había solicitado la nómina del mes de julio de 2022,
recibiendo un correo electrónico el día 8 de agosto “con un documento pdf
adjunto que incluía su nómina y la de 445 trabajadores más de la plantilla”, en
las que constaban “nombres y apellido, DNI, número de afiliación a la SS y
número de cuenta bancaria, entre otros datos”.
La segunda fue
interpuesta por un trabajador miembro del comité de empresa, una vez que la
empresa informó a todo su personal de la incidencia, aportando la captura de pantalla
del correo recibido el 4 de mayo de 2023.
Habiendo dado
traslado de las reclamaciones a la empresa, está respondió mediante escrito de
18 de mayo, y la AEPD observó que de dicha respuesta se infería “una posible
vulneración de la protección de datos”, por lo que admitió a trámite las reclamaciones
el 8 de julio y procedió a la realización de actuaciones previas de
investigación para el esclarecimiento de los hechos en cuestión, “en virtud de
las funciones asignadas a las autoridades de control en el artículo 57.1 y de
los poderes otorgados en el artículo 58.1 del Reglamento General de Protección
de Datos, y de conformidad con lo establecido en el Título VIII, de la LOPDGDD”.
Cabe indicar,
pues, que la normativa aplicable es el Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales. .
Sobre la primera norma, remito a la entrada “Relaciones laborales y protección de datos personales. Notas a propósito del Reglamento (UE) 2016/679, y lecturas recomendadas” . Sobre la segunda, a la entrada (que no afecta directamente a la temática abordada en el presente texto) a “Los derechos digitales laborales en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Notas al título X”
4. Sobre los hechos reclamados, la empresa admitió
que se había enviado ese correo, atribuyéndolo a un “error humano” de una
persona trabajadora del Departamento de recursos humanos “ que no siguió el
proceso interno”; que la cifra correcta de trabajadores y trabajadoras de la
empresa sería de 446, y que quien recibió el fichero manifestó a quien se lo
había enviado que no lo había descargado, hecho que, siempre según la parte
empresarial, pudo condicionar la actuación del personal responsable del envío
de no informar de la incidencia. Así se constata de manera expresa en la respuesta
dada por la empresa a la AEPS una vez que se le dio cuenta del traslado de la
reclamación:
“Según manifiesta la parte reclamada, el empleado de recursos humanos que remitió el archivo no informó de ellos a sus responsables ni lo puso en conocimiento de la empresa, por lo que la brecha no trascendió ni se actuó de forma proactiva ante ella. Únicamente se tuvo constancia, tal como manifiestan, cuando recibieron la notificación del traslado de la reclamación: “el pasado 18 de abril de 2023 Uniqlo recibió una notificación de la AEPD por la que se le daba traslado de la reclamación presentada y se le requería cierta información. Fue en este preciso instante en el que Uniqlo, como organización empresarial, pudo conocer el incidente de seguridad del pasado agosto, hasta entonces, desconocido”.
¿Por qué no se notificó a la AEPD la “brecha” en el tratamiento de datos personales? Ya sabemos que la respuesta es porque la empresa desconocía que se había producido, y más exactamente porque la persona responsable de la infracción no informó en ningún momento de la misma a sus superiores, “en un flagrante incumplimiento de las políticas internas de Uniqlo”. Una vez notificaba la brecha, en los datos incorporados al expediente constan entre otros que “Encargado: no hay responsable del tratamiento” y “Consecuencias para los afectados: Afectada la confidencialidad. Podrían sufrir inconvenientes severos como phishing o intentos de suplantación, aunque se considera improbable que se materialice” (la negrita es mía)
También conocemos, y ello encaja con la reclamación presentada por el trabajador miembro del comité de empresa, que esta remitió un correo a todo el personal, explicando que se trataba de un error y que no se había podido enviar esta información hasta que se tuvo conocimiento de la brecha, facilitando un correo electrónico de contacto “para consultas adicionales”, si bien la empresa manifiesta que sólo había recibido 10 comunicaciones, “que fueron debidamente atendidas”. Además, la empresa alertaba en el citado correo a su personal para que estuvieran atentos “a cualquier riesgo potencial que pudiera derivarse de un uso indebido de sus datos personales”, y se informaba de las medidas adoptadas para “tratar de garantizar que no se produzcan incidentes de este tipo”.
De la respuesta dada por la empresa se constata en el expediente que “Se ha requerido acreditación de que la comunicación se ha realizado de forma efectiva a todo el personal afectado, pero no se ha recibido confirmación al respecto, aunque sí se aportan muestras de los correos dirigidos tanto a trabajadores en activo como a exempleados”, y que “... puede confirmarse que la comunicación se ha realizado de manera efectiva a, al menos, todo el personal en activo en esos momentos”.
5 En el expediente conocemos inmediatamente que la AEPD profundizó en el funcionamiento y organización de la gestión de nóminas de la empresa, para constatar que “no obstante, en este caso particular el encargado del tratamiento, aun siendo una cuestión relativa a las nóminas, no tuvo ninguna implicación en el incidente al circunscribirse internamente al responsable”, y a continuación de las medidas de seguridad existentes, explicándose por la parte reclamada muy ampliamente todas las medidas técnicas y organizativas existentes con anterioridad al conflicto para garantizar aquella. Me interesa destacar que la empresa manifestó que
“En lo que
al tratamiento de datos relativo a la gestión de nóminas se refiere, la empresa
no ha llevado a cabo una evaluación de impacto ya que, de conformidad con el
artículo 35.3 del RGPD, la gestión de las nóminas no es considerado un
tratamiento que requiera de esta evaluación. Asimismo, y en consecuencia con lo
anterior, la empresa tampoco ha documentado un análisis del riesgo específico
de este tratamiento”.
También se exponen todas las medidas adoptadas con posterioridad al incidente, atendiendo a la petición formulada por la AEPD, de las que destaco la de
“Revisión de los protocolos internos del departamento de recursos humanos y del proceso de envío de nóminas. Entre los cambios realizados, manifiestan: los antiguos empleados podrán descargar sus nóminas (…). Complementariamente, el departamento de recursos humanos de UNIQLO intercambiará las nóminas con la gestoría encargada de este tratamiento de manera individualizada, enviando las nóminas específicas de cada trabajador y no de manera conjunta”.
Igualmente, se informa de la apertura de un expediente disciplinario a la persona trabajadora responsable del envío del fichero con las nóminas de todo el personal “por incumplimiento grave de los deberes de buena fe y confianza legítima al no haber seguido los protocolos existentes”, considerándola (supongo que de acuerdo a la normativa legal y convencional aplicable) una falta muy grave “que incluso podría acarrear el despido”. Cuando redacto este artículo desconozco cuál ha sido el resultado del expediente.
En el expediente se dedica especial atención, dado que se había producido un error humano en la difusión de la información, a conocer, y por ello se ha solicitado que la parte reclamara la facilitara, a conocer cuál era, cuando se produjo la incidencia, “la situación y formación de los empleados en materia de protección de datos y ciberseguridad”. Dando respuesta, la empresa expuso que se enviaban regularmente circulares a todo el personal que informaba de todo aquello relativo a la seguridad de la información y protección de datos, con relación expresa y aportación de todas ellas, entre ellos la distribución de videos didáctico, constatándose en el expediente que “no puede acreditar por la información facilitada... su efectiva difusión, ni qué personal los habría visualizado”
Además, la empresa informó que la persona responsable del envío del fichero contaba con la información necesaria para el desempeño de sus funciones, y que además del conocimiento de tales circulares había recibido formación especifica “en materia de protección de datos vinculada a la gestión de personal”, con acreditación de tales actividades.
6. El expediente entra a continuación en el impacto de la difusión de los datos personales, exponiendo, a partir de la información facilitada por la empresa, que “no consta que se haya producido exfiltración de los datos afectados por la brecha, aportando la declaración del responsable de seguridad de la información el 18 de mayo de 2023, “en la que se detallada el análisis realizado y las conclusiones del mismo, en el que se confirma que no se han detectado filtraciones de información ni que los datos hubieran sido publicados en contra de la voluntad de los afectados”.
Antes de entrar en la fundamentación jurídica de la Resolución por la que se acuerda iniciar procedimiento sancionador contra la empresa, que llevará a la propuesta de imposición de la sanción económica y medidas adicionales, reducida la primera en su cuantía final por el pago voluntario por parte empresarial y consiguiente reconocimiento de responsabilidad, se hace referencia al volumen de negocio total anual de la empresa, dato sin duda relevante a los efectos de determinar la cuantía de la sanción que podía llegar a imponerse en el supuesto, como así ocurrió, de que se comprobada la vulneración de la normativa sobre protección de datos.
7. En los
fundamentos de derecho, se expone primeramente la competencia de la AEPD, el procedimiento
que corresponde, que es el sancionador, y algunas cuestiones previas como son
el recordatorio de que debe entenderse por “tratamiento” (art. 4.2 RGPD), y “responsable
del tratamiento” (art. 4.7), que es la empresa reclamada “dado que es quien
determina los fines y medios de tal actividad, en virtud del art. 47.7 del RGPD”.
También son mencionados el art. 5, con mención expresa de la garantía de la integridad
y confidencialidad de los datos personales (apartado 1 f), y el art. 32 que
regula la seguridad del tratamiento de tales datos.
8. Inmediatamente a continuación se entra ya en aquello que se considera una “obligación incumplida”, en primer lugar respecto a los principios relativo al tratamiento. Tras recordar el contenido del art. 5.1 f) del RGPD (“los datos personales... tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad”), se concluye que existían “indicios evidentes” de vulneración por la empresa de dicho precepto, “al no garantizar debidamente la confidencialidad e integridad de datos de carácter personal de sus trabajadores, habiéndose puesto en conocimiento de un tercero no autorizado”, por lo que se consideraba que los hechos conocidos “podrían ser constitutivos de una infracción imputable (a la empresa)”.
Toca entonces proceder a la tipificación y calificación de infracción “a los efectos de la prescripción del art. 5.1 f) del RGPD”, debiendo acudirse a los arts. 83.5 del RGP y al art. 71 de la LOPDGDD, por una parte (tipificación) y al art. 72.1 a) de la segunda norma, por otra (prescripción). Se consideran muy graves, con prescripción a los tres años, las infracciones que supongan una vulneración sustancial de “a) el tratamiento de datos personales y vulnerando los principios y garantías establecidos en el art. 5 del Reglamento U(UE) 2016/679”.
Con respecto a la cuantía de las sanciones a imponer, recordemos que deberá prestarse atención a las circunstancias de cada caso individual y que deberán ser “efectivas, proporcionadas y disuasorias”, debiendo tomar en consideración los criterios fijados en los arts. 83.1 y 2 del RGPD y 76 de la LOPDGDD, disponiendo este último que podrán tenerse en cuenta:
“a) El carácter continuado de la infracción.
b) La
vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La
posibilidad de que la conducta del afectado hubiera podido inducir a la
comisión de la infracción.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado”.
La aplicación de estas reglas se concreta en el expediente abierto a la empresa en los siguientes términos:
- Sobre la naturaleza, gravedad y duración de la infracción: “... Al haberse enviado la información por correo electrónicos, supone un mayor riesgo de filtración de los datos, no sólo por el destinatario del correo (la parte reclamante), sino, debido a la vulnerabilidad en materia de seguridad del correo electrónico, ya que, al no estar cifrados los datos, cualquier atacante que podría acceder a los datos en tránsito. Además, el número de interesados afectados por la brecha de datos personales es de 447”.
- Sobre la intencionalidad/negligencia en la infracción: “Aunque no se puede entender que UNIQLO actuara con dolo, se observa falta de diligencia en el cumplimiento de las obligaciones que le impone la normativa en materia de protección de datos, como es el cumplimiento y puesta en práctica de las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo en los tratamientos que lleva a cabo, concretamente, en la gestión de las nóminas de sus trabajadores”.
En apoyo de su tesis se remite a la sentencia dictada por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional el 17 de octubre de 2007, de la que fue ponente la magistrada María del Pilar Teso, con amplias referencias a la jurisprudencia del TS, ciertamente dictada con anterioridad a la entrada en vigor del RGPD pero cuyos principios generales son perfectamente aplicables al caso ahora analizado.
- Sobre la categoría de los datos de carácter personal afectados por la infracción. Se destaca la importancia de haberse filtrado los datos financieros (cuentas bancarias) de todo el personal de la empresa, que según la normativa comunitaria “merecen una protección especial y, por tanto, una respuesta más estricta en lo que respecta a las multas”.
Como factor agravante se considera la vinculación de la actividad del infractor con la realización de tratamientos de datos personales “, y es clatro y evidente en este caso que el desarrollo de las actividades de gestión empresarial por UNIQLO “requiere un tratamiento continuo de datos personales de sus trabajadores”.
Como factor atenuante se valora que el mensaje de correo electrónico con el fichero adjunto de todas las nóminas tenía un único destinatario, el primer sujeto posteriormente reclamante
De todo lo
anteriormente expuesto, se concluye que debe fijarse inicialmente una sanción
de multa administrativa de 300.000 euros.
9. Se pasa a continuación al examen de la obligación incumplida en materia de seguridad del tratamiento, en segundo lugar, con transcripción literal del art. 32 del RGPD, que regula las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, constatándose la vulneración de su apartado 1, “... debido a la falta de adopción de medidas de carácter técnico y organizativas apropiadas, que posibilitó a un tercero no autorizado el acceso a los datos personales de los trabajadores de UNIQLO, que vino provocado por el envío mediante correo electrónico de las nóminas de 447 trabajadores de la empresa UNIQLO”, al haberse llegado a la conclusión, a partir de toda la información disponible en el expediente, que se evidenciaba “que las medidas de seguridad implantadas en relación con los datos que sometía a tratamiento no eran las adecuadas para garantizar la seguridad y confidencialidad de los datos personales en el momento de producirse la quiebra”, y que no se podían valorar las medidas adoptadas con posterioridad al conocimiento de la brecha de protección de datos para valorar la responsabilidad empresarial en los hechos acaecidos con anterioridad, enfatizando, con amplio apoyo en la jurisprudencia del TS, que la actuación negligente que tuvo un trabajador en la gestión de datos personales que se encontraban en las nóminas de todo el personal no eximía de responsabilidad a la empresa, siendo esta por consiguiente imputable por vulneración de la normativa aplicable.
A tal efecto, transcribe ampliamente la sentencia del TS (C-A) de 15 de febrero de 2022, de la que fue ponente el magistrado Diego Córdoba. Reproduzco, por su indudable interés, unos fragmentos del fundamento de derecho cuarto.
“... Es un hecho no controvertido que fallaron las medidas de seguridad y los contratos de financiación de 14 particulares que contenían datos personales -nombres, domicilios, teléfonos, estado civil, familiares a cargo, ingresos, situación laboral, cargos, números de cuentas corrientes, importes financiados, mensualidades y la firma del contratante- se enviaron a un tercero ajeno a la relación contractual.
... La resolución sancionadora considera que la empresa recurrente incumplió las medidas de seguridad en los términos previstos en el art. 9.1 de la LO 15/1999 y le imputa la comisión de la infracción prevista en el art.44.3.h) consistente en "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen [...]". Le reprocha a la empresa que la aplicación implantada para la recogida de datos personales de los compradores era defectuosa y no cumplía los requisitos técnicos y de seguridad requeridos, al permitir un acceso no autorizado de un tercero...
... Ya hemos razonado que la obligación que recae sobre el responsable del fichero y sobre el encargado del tratamiento respecto a la adopción de medidas necesarias para garantizar la seguridad de los datos de carácter personal no es una obligación de resultado sino de medios, sin que sea exigible la infalibilidad de las medidas adoptadas. Tan solo resulta exigible la adopción e implantación de medidas técnicas y organizativas, que conforme al estado de la tecnología y en relación con la naturaleza del tratamiento realizado y los datos personales en cuestión, permitan razonablemente evitar su alteración, pérdida, tratamiento o acceso no autorizado.
... El estado de la técnica en el momento en el que se produjeron estos hechos permitía establecer medidas destinadas a comprobar la veracidad de la dirección de email, condicionando la continuación del proceso a que el usuario recibiese el contrato en la dirección proporcionada y solo desde ella prestase el consentimiento necesario para su recogida y tratamiento. Medidas que no se adoptaron en este caso.
... De modo que, en el momento en que se produjeron estos hechos, existían medidas técnicas referidas al proceso de registro, que hubiesen evitado la filtración de datos personales producida. Ello implica que las medidas técnicas adoptadas incumplían las condiciones de seguridad en los términos exigidos en el art. 9.1 de la LO 15/1999, incurriéndose por tanto en la infracción prevista en el art. 44.3.h) consistente en "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen [...]".
10. Tras proceder, al igual que hizo con anterioridad, a la tipificación y calificación de la infracción, de acuerdo, se efectúa la propuesta de sanción, tomando en consideración nuevamente la naturaleza, gravedad y duración de la infracción , y la categoría de los datos personales afectados por la infracción, así como también teniendo en cuenta posibles agravantes y atenuantes, en idénticos términos que se hizo con anterioridad, si bien ahora la cuantía propuesta de la sanción es inferior, tratándose de una multa administrativa de 150.000 euros.
Además, se proponía, al amparo del art. 58.2 d) del RGPD, que regula los poderes de investigación de los que dispone cada autoridad de control, que se requiriera a la empresa para que en el plazo de 3 meses acreditara haber adoptado determinadas medidas, como eran “adoptar las medidas técnicas y organizativas para garantizar la seguridad de los datos personales de sus trabajadores”, siendo su imposición compatible con la sanción de multa administrativa.
11. Como he indicado al inicio de mi exposición, la empresa procedió el 22 de julio al pago de 270.000 euros, al hacer uso de las posibilidades de reducción previstas en el acuerdo, habiendo asumido su responsabilidad en la infracción cometida. Por consiguiente se acuerda la terminación del procedimiento que dio lugar al expediente que ha sido objeto de mi atención, si bien se mantiene la orden a la empresa de notificación a la AEPD , en un plazo de 3 meses desde que la resolución sea firme y ejecutiva, de “la adopción de las medidas que se describen en los fundamentos de derecho del Acuerdo de inicio transcrito en la presente resolución”, que recuerdo que son las de adopción de las medidas técnicas y organizativas para garantizar la seguridad de los datos personales de sus trabajadores.
Buena lectura.
No hay comentarios:
Publicar un comentario