AEPD impone multa de 3.000 euros a una empresa por vulnerar la confidencialidad de datos en correos masivos
.png)
Multa a empresa por no emplear copia oculta en correos masivos.
Infracción de la confidencialidad según el RGPD
El caso que nos ocupa implica una sanción de 3.000 euros impuesta por la Agencia Española de Protección de Datos a la empresa Clidea Desarrollo, como resultado de la infracción del Reglamento General de Protección de Datos. La infracción cometida se deriva del envío de un correo electrónico masivo a 349 destinatarios sin emplear la función de copia oculta (CCO), lo que permitió que todas las direcciones de correo de los receptores fueran visibles entre sí. Esta conducta supone una vulneración de los artículos 5.1.f) y 32 del RGPD, que establecen la necesidad de proteger la confidencialidad y seguridad de los datos personales durante su tratamiento.
El deber de confidencialidad en el tratamiento de datos
El artículo 5.1.f) del RGPD consagra el principio de integridad y confidencialidad, imponiendo al responsable del tratamiento la obligación de adoptar medidas adecuadas para evitar el acceso no autorizado a los datos personales. Este precepto tiene por finalidad proteger los derechos fundamentales de los interesados, garantizando que los datos personales sean tratados de forma que se eviten divulgaciones no autorizadas. En este sentido, el hecho de no utilizar la función de copia oculta en un correo masivo, en el que las direcciones de correo de los destinatarios incluyen en muchos casos el nombre y apellidos de los mismos, constituye una infracción directa de dicho principio.
Cabe destacar que la confidencialidad de los datos no solo se refiere a evitar que terceros no autorizados accedan a ellos, sino también a asegurar que otros interesados no tengan acceso a los datos de otros, como ocurrió en este caso. Así, al enviar un correo sin utilizar la CCO, Clidea Desarrollo expuso información personal de carácter identificativo a terceros sin el consentimiento expreso de los afectados, violando el derecho a la protección de datos de cada uno de los destinatarios.
Medidas técnicas y organizativas inadecuadas
El artículo 32 del RGPD establece que tanto el responsable como el encargado del tratamiento deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. En este contexto, el uso de la función de copia oculta es una medida organizativa mínima que cualquier responsable de tratamiento debe implementar cuando envía correos electrónicos a múltiples destinatarios.
Dado que la divulgación de correos electrónicos puede permitir la identificación de los titulares, su uso sin las debidas precauciones representa un riesgo considerable en cuanto a la protección de la privacidad de los afectados. En el presente caso, la AEPD concluyó que Clidea Desarrollo no aplicó las medidas adecuadas para proteger la seguridad de los datos personales, vulnerando así el artículo 32 del RGPD.
El procedimiento administrativo
La sanción impuesta a Clidea Desarrollo se inició tras la presentación de una reclamación ante la AEPD en mayo de 2023. La reclamación detallaba que la empresa había enviado un correo electrónico a 349 freelancers sin utilizar la copia oculta, lo que permitió que las direcciones de todos los destinatarios fueran visibles. La parte reclamante aportó pruebas del correo en cuestión y del posterior mensaje de disculpa enviado por la empresa, reconociendo el error.
Tras analizar la reclamación, la AEPD trasladó la misma a la empresa para que informase sobre las medidas correctivas adoptadas en un plazo de un mes. Sin embargo, Clidea Desarrollo no respondió en el plazo establecido, lo que motivó la apertura del procedimiento sancionador. En la resolución final, la AEPD determinó que se había producido una infracción de los artículos 5.1.f) y 32 del RGPD, imponiendo dos multas: una de 2.000 euros por vulnerar el deber de confidencialidad y otra de 1.000 euros por no implementar medidas de seguridad adecuadas.