Enviar correos sin copia oculta se considera una brecha de seguridad que puede ocasionar sanciones importantes en las organizaciones.
Según expone la Agencia de Protección de Datos, la dirección de correo electrónico debe ser considerada dato de carácter personal, por lo que las empresas y organizaciones deben hacer todo lo que esté en su mano para garantizar su privacidad y su tratamiento sometido a las leyes de Protección de Datos.
Cuando enviamos correos electrónicos sin copia oculta dejamos visible datos personales de múltiples personas y de esta manera se vulnera el deber de confidencialidad.
Descripción de los hechos:
- El 09/05/2019 se presentó una reclamación la Agencia Española de Protección de Datos (“AEPD”) por el envío de correo electrónico sin copia oculta y sin consentimiento para ello.
- El reclamante solicitó a empresa infractora la eliminación de sus datos para el envío de publicidad, sin recibir contestación alguna, ni tampoco formulario o procedimiento para solicitar la cancelación.
- Además un, tiempo después, la empresa infractora envió de nuevo un correo electrónico al reclamante. Un envío sin copia oculta, pudiéndose visualizar las direcciones de correos electrónicos a las que había sido enviado el mensaje entre las que se encontraban las del reclamante.
- La empresa infractora tampoco habría contestado al requerimiento de información de la AEPD, ni presentado escrito de alegaciones al acuerdo de inicio de dicho procedimiento.
Infracción:
Vulneración del artículo 5.1 letra f) del Reglamento General de Protección de Datos 2016/679 (“RGPD”).
Artículo 5.1 f) del RGPD:
“1. Los datos personales serán: (…) f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad» […].”
Sanciones:
La AEPD impone una sanción de 5000 euros a la empresa infractora por no cumplir con las exigencias legales en relación a la seguridad en el tratamiento de datos personales (envío de e-mails sin copia oculta, mostrando direcciones electrónicas de terceros).
Relación de infracciones recogidas en el artículo 83.5 del RGPD, y con relación a las infracciones muy graves recogidas en el artículo 72.1 letra a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (“LOPDGDD”).
Artículo 83.5 letra a) RGPD:
“5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: (…)
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; […].”
Artículo 72.1 letra a) LOPDGDD:
“1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679 […].