Es relativamente frecuente que la Agencia Española de Protección de Datos (AEPD) sancione a diferentes empresas y organismos cuando vulneran las normas de privacidad. Uno de los patrones más repetidos suele ser el envío de correos electrónicos a varios destinatarios y sin ocultar sus direcciones de email bajo CCO (con copia oculta).
En esta ocasión, la AEPD ha decidido sancionar a una empresa dedicada a la compraventa de bienes inmobiliarios que envió un email a varias personas sin hacer uso de la opción «con copia oculta», por lo que desvelaron datos personales como la propia dirección de correo electrónico sin el consentimiento de los terceros.
9.000 euros de multa
Tras llegar a manos de la Agencia Española de Protección de Datos este expediente, procedió a enviar la reclamación a la empresa inmobiliaria que remitió dicho email, teniendo en cuenta que tenía que analizar lo sucedido y enviar respuesta en el plazo de un mes. La empresa reclamada no efectuó ninguna contestación y tampoco realizó ninguna alegación cuando se admitió a trámite la reclamación.
Por lo tanto, ante la ausencia de defensa, el caso fue resuelto sin mucha incidencia por parte de la AEPD, que considera que la empresa reclamada, al remitir un correo electrónico de manera plural sin auxiliarse de la modalidad de la copia oculta, “ha cedido sus datos a terceros sin causa que lo legitime” y, por consiguiente, “ha realizado un tratamiento de sus datos personales contrario a Derecho”.
La importancia de usar CCO al enviar un email
Cuando enviamos un correo electrónico a varios destinatarios, debemos ser cautos y hacer uso de la opción CCO para evitar mostrar a unos las direcciones de correo electrónico de otros, o, en su defecto, contar con todas las autorizaciones de los destinatarios para que se conozcan las mismas.
La Agencia Española de Protección de Datos considera que no hacerlo infringe los artículos 5.1 f) («Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas de integridad y confidencialidad»).
También considera que se vulneró el artículo 32 del Reglamento General de Protección de Datos, que hace referencia a la seguridad del tratamiento de datos («Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento«).
Considerando que se ha violado el principio de integridad y confidencialidad en este caso, así como no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes, decide sancionar con 9.000 euros a la reclamada: 6.000 euros por la infracción del artículo 5.1 f) del RGPD y los 3.000 euros restantes de la infracción del artículo 32.
