Recentment es publicava en alguns mitjans de l’àmbit jurídic que l’Agència Espanyola de Protecció de Dades (AEPD) ha sancionat amb una quantiosa multa a l’empresa UNIQLO, dedicada al comerç al detall de roba, degut a que l’empresa no va garantir la confidencialitat i la integritat de les dades de caràcter personal de les persones treballadores al seu servei.
Cal recordar que l’AEPD és l’autoritat pública independent que, a nivell estatal, té l’encàrrec de vetllar per la privacitat i la protecció de dades de la ciutadania,. Aquesta protecció ve regulada al Reglament (UE) 2016/679, de 27 d’abril del 2017 (Reglament general de protecció de dades, RGPD) i la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i garantia dels drets digitals (LOPDGGD), i aquesta normativa imposa determinades obligacions a les empreses i entitats en aquesta matèria.
Pel que fa a la sanció que comentàvem, imposada per l’AEPD a UNIQLO per un import de 450.000€, els fets son que l’AEPD va registrar una reclamació contra aquesta empresa formulada per una persona treballadora que explicava que, després d’haver sol·licitat la seva nòmina mensual al departament de recursos humans d’UNIQLO, des d’aquest últim se li va enviar un correu electrònic amb un document adjunt que incloïa no només la seva nòmina, sinó també la de més de quatre-cents altres persones treballadores de la plantilla i, a les esmentades nòmines, constaven les dades personals i les bancàries, així com la retribució mensual, de cadascuna d’elles.
L’empresa va admetre els fets davant l’AEPD però va al·legar que aquesta bretxa de seguretat va tenir com causa una errada del personal del departament de recursos humans que va enviar, per errada involuntària, l’arxiu indicat. També l’empresa va fer constar que no van tenir constància d’aquesta bretxa de dades fins que no van rebre la notificació de la mateixa Agència, doncs la persona treballadora de recursos humans que va enviar l’arxiu de les nòmines no ho va posar en coneixement de l’empresa, fet pel qual l’empresa no va poder actuar immediatament ni notificar-ho més ràpidament a l’AEPD. Tot i així, si que UNIQLO va explicar que havia informat de l’incident a les persones treballadores afectades de seguida que se’n va assabentar.
Per aquests fets, l’AEPD ha resolt que l’empresa va vulnerar l’article 5.1.f) del RGPD sobre els principis relatius al tractament de dades personals, en no garantir una seguretat adequada (la confidencialitat i la integritat) d’aquestes dades, que es van posar en coneixement d’una tercera persona no autoritzada, i l’imposa la multa esmentada.
Aquest n’és només un exemple, però tinguem en compte que les denúncies s’incrementen i, en conseqüència, també les actuacions de l’AEPD que finalitzen amb la imposició d’una sanció. El passat mes d’abril, l’Agència va publicar una Memòria a la qual feia balanç de les actuacions que havia dut a terme durant l’any 2023. Reflectim breument algunes dades d’aquesta memòria que l’Agència ha fet constar al seu web:
- El 2023 va rebre 21.590 reclamacions (un 43% més que l’any anterior).
- Les reclamacions que li ha fet arribar més freqüentment la ciutadania corresponen a publicitat no desitjada, telecomunicació i serveis d’internet, videovigilància, comerç, transport, hostaleria, i entitats financeres.
- L’Agència va dictar 367 resolucions amb imposició de multa.
- Les àrees d’activitat amb un més gran import global de multes són les relacionades amb bretxes de dades personals (que passa dels 821.800€ l’any 2022 a 12.907.000€ el 2023); entitats financeres (596.200€ l’any 2022 i 5.321.000€ el 2023); drets de protecció de dades (2.633.400€); contractació fraudulenta (2.571.500€); telecomunicacions (1.942.000€) i serveis d’internet (1.058.700€).
Aquetes sis àrees suposen el 89% de l’import global de les sancions, que l’any 2023 va ser de 29.817.410€.
- L’Agència va dur a terme 36 intervencions d’urgència el 2023 a través del Canal prioritari, i va assolir retirar els continguts sensibles amb total immediatesa en tots els casos.
Per tant, les empreses i les entitats, grans o petites, hem de ser conscients que no podem sostreure’ns a una normativa que ha arribat per a quedar-s’hi, i que hem de posar tots els mitjans al nostre abast per protegir les dades personals i els drets digitals de les persones que tenen vinculació amb nosaltres.