A los empleados y exempleados de la empresa japonesa de cosméticos Shiseido en el Reino Unido que descubrieron que su información personal había quedado expuesta en una violación de datos se les pide que se presenten para participar en una acción legal grupal propuesta contra la empresa.
El incumplimiento tuvo lugar en la primavera de 2022 y fue notificado a la Oficina del Comisionado de Información (ICO) a mediados de abril. Supuestamente, esto estaba en línea con las regulaciones de informes, que requieren que se informe a la ICO sobre infracciones impactantes dentro de las 72 horas, pero según los informes en ese momento, los empleados habían alegado que Shiseido estaba al tanto del incidente un mes antes.
La violación de datos resultó en la filtración de imágenes de identificación, detalles bancarios y datos de contacto, según Ruby Keeler-Williams de Elysium Law, una cámara de abogados de acceso directo con sede en Cheshire con privilegios de litigio, que encabeza el reclamo.
Keeler-Williams dijo que los datos parecían haber sido vendidos o pasados a grupos criminales debido a su naturaleza altamente confidencial. Las víctimas han visto afectadas sus calificaciones crediticias y algunas han obtenido préstamos bancarios a su nombre. Peor aún, alrededor de 500 personas descubrieron que tenían empresas fraudulentas establecidas a su nombre.
“Casi todas las víctimas tenían empresas establecidas”, dijo Keeler-Williams a Computer Weekly. “Es muy significativo que las personas hayan obtenido claramente acceso a información confidencial, como pasaportes y documentos de identidad, información suficiente para establecer una empresa y cuentas bancarias.
“Se enteraron cuando recibieron documentación de Companies House solicitando cuentas de empresas que no tenían idea de que existían… Casi todos nunca antes habían sido dueños de una empresa, eran empleados, no tienen experiencia en el manejo de estos asuntos.
“Ha sido bastante angustioso para ellos. Casi todos ellos han visto bajar sus puntajes de crédito. Hemos visto a personas que solicitan hipotecas ser rechazadas debido a esto. La madre de una señora se estaba muriendo de una enfermedad terminal durante esto, y esto la distrajo y le causó cierta angustia a su madre en sus últimas semanas”, dijo.
Aunque Shiseido había negado su responsabilidad por la infracción, ha ofrecido a los afectados acceso a servicios de control de crédito a través de Experian. Durante el verano de 2022, solicitó y obtuvo una orden en el Tribunal Superior para eliminar más de 300 empresas fraudulentas del registro en virtud de las secciones de la Ley de Empresas de 2006 que cubren el suministro de información objetivamente inexacta a Companies House.
Keeler-Williams dijo que estos eran desarrollos inusuales dado que Shiseido estaba gastando una suma de dinero no insignificante en resolver un problema con el que supuestamente no tiene nada que ver.
“Es relevante que ha habido una falta de comunicación aquí por parte de Shiseido”, dijo. “Si bien parece que la óptica ha tomado medidas para ayudar, ha sido bastante desdeñosa o optimista. Algunas víctimas han hecho SAR [subject access requests under GDPR] que han quedado sin respuesta.”
En esta etapa, Elysium Law busca iniciar acciones en nombre de quienes se han presentado hasta ahora: entre 70 y 80 personas en el momento de escribir este artículo. Este reclamo aún se encuentra en la etapa previa a la emisión, pero Keeler-Williams dijo que se estaban considerando varios tipos de pérdida, siendo los más relevantes los daños por la angustia causada por el incumplimiento de la legislación de protección de datos.
La acción también buscará establecer qué sabía Shiseido sobre la infracción, qué información pasó a la ICO cuando reveló el incidente y qué información tenía en sus archivos para los empleados afectados.
Keeler-Williams dijo que, a la luz de las acusaciones de que Shiseido no informó del incidente durante más de un mes, el papel de la ICO en el incidente sería particularmente relevante.
Shiseido no había respondido a las solicitudes de comentarios en el momento de la publicación.