AEPD impone multa de 3.000 euros a una empresa por vulnerar la confidencialidad de datos en correos masivos
La Agencia Española de Protección de Datos ha tomado medidas contra la empresa Clidea Desarrollo, imponiéndole una multa de 3.000 euros por no cumplir con las normativas de protección de datos al enviar correos electrónicos masivos. Este caso resalta la importancia de la confidencialidad en la gestión de información personal en el ámbito digital.
Detalles de la infracción
La sanción se deriva del envío de un correo electrónico a 349 destinatarios en el que las direcciones de correo electrónico fueron visibles para todos los receptores, ya que la empresa no utilizó la función de copia oculta (CCO). Esta acción resultó en la exposición de datos personales, incluyendo nombres y apellidos de varios freelancers que colaboraban con Clidea Desarrollo.
Normativa infringida
Según el artículo 5.1.f) del Reglamento General de Protección de Datos, las empresas están obligadas a garantizar la confidencialidad de los datos personales que manejan. Esto implica implementar medidas adecuadas para prevenir accesos no autorizados. En este caso, Clidea Desarrollo violó este principio al permitir que todos los destinatarios accedieran a las direcciones de correo electrónico de los demás, lo que se considera una filtración no autorizada de datos personales.
Asimismo, el artículo 32 del RGPD exige que los responsables del tratamiento de datos adopten medidas técnicas y organizativas que aseguren la protección de la información personal. La falta de uso de la función de copia oculta en correos masivos es una omisión significativa que compromete la seguridad de los datos personales.
Procedimiento sancionador
La AEPD inició el procedimiento sancionador tras recibir una reclamación en mayo de 2023. La denuncia reveló que las direcciones de correo electrónico de freelancers, que incluían sus nombres y apellidos, habían sido expuestas. Tras la reclamación, la AEPD solicitó a Clidea Desarrollo que aclarara la situación y tomara las medidas correctivas pertinentes. Sin embargo, la empresa no respondió en el tiempo establecido, lo que llevó a la AEPD a proceder con la sanción.
Finalmente, la AEPD determinó que las acciones de Clidea Desarrollo constituían una violación de la normativa de protección de datos y estableció una multa de 3.000 euros. Esta sanción se desglosa de la siguiente manera: 2.000 euros por infringir el artículo 5.1.f) del RGPD, debido a la falta de protección adecuada de la confidencialidad de los datos personales y 1.000 euros por infringir el artículo 32 del RGPD, al no implementar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos.