Enviar correus sense còpia oculta es considera una bretxa de seguretat que pot ocasionar sancions importants en les organitzacions.
Segons exposa l’Agència de Protecció de Dades, l’adreça de correu electrònic ha de ser considerada dada de caràcter personal, per la qual cosa les empreses i organitzacions han de fer tot el que sigui a la seva mà per a garantir la seva privacitat i el seu tractament sotmès a les lleis de Protecció de Dades.
Quan enviem correus electrònics sense còpia oculta deixem visible dades personals de múltiples persones i d’aquesta manera es vulnera el deure de confidencialitat.
Descripció dels fets:
- El 09/05/2019 es va presentar una reclamació l’Agència Espanyola de Protecció de Dades (“AEPD”) per l’enviament de correu electrònic sense còpia oculta i sense consentiment per a això.
- El reclamant va sol·licitar a empresa infractora l’eliminació de les seves dades per a l’enviament de publicitat, sense rebre cap contestació, ni tampoc formulari o procediment per a sol·licitar la cancel·lació.
- A més un, temps després, l’empresa infractora va enviar de nou un correu electrònic al reclamant. Un enviament sense còpia oculta, podent-se visualitzar les adreces de correus electrònics a les quals havia estat enviat el missatge entre les quals es trobaven les del reclamant.
- L’empresa infractora tampoc hauria contestat al requeriment d’informació de l’AEPD, ni presentat escrit d’al·legacions a l’acord d’inici d’aquest procediment.
Infracció:
Vulneració de l’article 5.1 lletra f) del Reglament General de Protecció de Dades 2016/679 (“RGPD”).
Article 5.1 f) del RGPD:
“1. Les dades personals seran: (…) f) tractats de tal manera que es garanteixi una seguretat adequada de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o mal accidental, mitjançant l’aplicació de mesures tècniques o organitzatives apropiades («integritat i confidencialitat» […].”
Sancions:
L’AEPD imposa una sanció de 5000 euros a l’empresa infractora per no complir amb les exigències legals en relació a la seguretat en el tractament de dades personals (enviament d’e-mails sense còpia oculta, mostrant adreces electròniques de tercers).
Relació d’infraccions recollides en l’article 83.5 del RGPD, i en relació amb les infraccions molt greus recollides en l’article 72.1 lletra a) de la Llei orgànica 3/2018, de 5 de desembre, de Protecció de Dades Personals i Garantia dels Drets Digitals (“LOPDGDD”).
Article 83.5 lletra a) RGPD:
“5. Les infraccions de les disposicions següents se sancionaran, d’acord amb l’apartat 2, amb multes administratives de 20 000 000 EUR com a màxim o, tractant-se d’una empresa, d’una quantia equivalent al 4% com a màxim del volum de negoci total anual global de l’exercici financer anterior, optant-se per la de major quantia: (…)a) els principis bàsics per al tractament, incloses les condicions per al consentiment a tenor dels articles 5, 6, 7 i 9; […].
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; […].”
Article 72.1 lletra a) LOPDGDD:
“1. En funció del que estableix l’article 83.5 del Reglament (UE) 2016/679 es consideren molt greus i prescriuran als tres anys les infraccions que suposin una vulneració substancial dels articles esmentats en aquell i, en particular, les següents:
a) El tractament de dades personals vulnerant els principis i garanties establerts en l’article 5 del Reglament (UE) 2016/679 […].