Resolución de terminación del procedimiento por pago voluntario
La Agencia Española de Protección de Datos (“AEPD”) sanciona a una cadena de moda japonesa con una multa de 450.000 euros.
El origen de esta sanción es un incidente, acontecido el pasado 8 de agosto de 2022, relacionado con el envío de datos personales. En concreto, un empleado de la compañía sancionada solicitó su nómina al Departamento de Recursos Humanos. Este le envío, por correo electrónico, un documento PDF que no solo contenía su nómina, sino, también, la de cientos de miembros de la plantilla. La AEPD fue conocedora de esta brecha a través de una reclamación interpuesta por un trabajador de la empresa.
Iniciadas las investigaciones pertinentes, por parte de la autoridad de control, la entidad sancionada admitió los hechos, y atribuyó la brecha a un error del personal de Recursos Humanos, que no siguió el proceso interno establecido. Asimismo, la compañía manifestó que el empleado que envío el PDF actuó negligentemente, ya que no informó del error cometido a sus responsables ni lo puso en conocimiento de la empresa de otro modo, por lo que la brecha no trascendió ni la compañía pudo actuar de forma proactiva ante ella.
En este sentido, la AEPD ha recalcado, además, que la actuación negligente del empleado, en la gestión de los datos personales, no exime de responsabilidad a la empresa.
Por lo anterior, la autoridad de control sanciona por una doble vulneración de artículos del Reglamento General de Protección de Datos (“RGPD”); a saber:
- el incumplimiento del principio de integridad y confidencialidad, al haberse puesto los datos personales contenidos en las nóminas, en conocimiento de un tercero no autorizado; así como
- la falta de medidas de seguridad adecuadas, para garantizar la seguridad y confidencialidad de los datos personales.
Finalmente, la multa quedó reducida, por pago voluntario y reconocimiento de responsabilidad, a 270.000 euros.