Conoce la sanción por enviar correos electrónicos sin copia oculta
Antecedentes
No es la primera vez que la Agencia Española de Protección de Datos sanciona a una empresa por enviar correos electrónicos a una pluralidad de personas sin utilizar la herramienta de “Copia oculta” (CCO), exponiendo así la información y los datos de carácter personal de todos los destinatarios a terceros.
Uno de los primeros antecedentes había sido un partido político que envió un correo a 241 destinatarios revelando sus datos personales sin su consentimiento. Esta incidencia le costó una sanción de 2.000 euros.
Luego, para finales del 2020 un despacho de Abogados de Gerona cometió el mismo error cuya consecuencia fue una multa de 10.000 euros.
El caso de sanción por enviar correo electrónico sin copia oculta
La afectada es una empresa del sector inmobiliario quien no contestó al requerimiento de la AEPD ni presentó alegación alguna. La resolución de la AEPD no ofrece más información sobre el contexto del correo que desencadenó todo el problema, pero sí desglosa la multa en dos conceptos:
Importe de sanciones
- 6.000 euros por infringir la infracción establecida en el artículo 5.1 f), que cita:
“tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)».
- 3.000 euros por infringir la infracción establecida en el artículo 32 del RGPD.
Este último artículo titulado “Seguridad del tratamiento” menciona entre algunas de las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado:
- La seudonimización y el cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencias permanentes de los sistemas y servicios de tratamiento.
Se desprende de aquí que, en todos estos casos las empresas no han adoptado las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes, al no utilizar la modalidad de copia oculta en la remisión del correo electrónico. Y en consecuencia, se ve vulnerado el principio de integridad y de confidencialidad, lo que conlleva a una sanción por correo electrónico de alto importe.
Importancia de cumplir con la normativa
Creemos relevante hacer hincapié en que cada vez que se trate de un dato personal (cualquiera sea) se deberán implantar todas las medidas necesarias para garantizar los derechos y libertades en materia de protección de datos.
Para ello, no es menor recalcar la importancia también de formar al personal periódicamente sobre esta materia en general, y que incluya la necesidad del uso de la “copia oculta” en el envío de los correos, la elaboración de un registro de incidencias o brechas de seguridad en caso de ocurrir y las medidas correctoras posteriores a adoptar en dichos casos.
También es necesario implementar las medidas correctoras para que el cumplimiento de la empresa del RGPD sea mayor y cada vez mejor con el paso del tiempo y realizar auditorías de RGPD u otro tipo de revisiones periódicas (según el caso cada año o cada dos años) para verificar con carácter general el cumplimiento efectivo del RGPD en la empresa.
Dichas medidas mitigan las posibilidades de incumplimiento de la normativa en protección de datos, y sirve además para preparar herramientas para una posible defensa ante la AEPD, que dicho sea de paso es una de las entidades más sancionadoras de todas las de la UE, y sus sanciones suelen ser mucho más altas.
Si tienes dudas puedes consultarnos y puedes pedirnos un presupuesto lo más ajustado posible.
Otros artículos de interés:
Designación de una delegado de protección de datos
Comentarios recientes