Sanción de 1.800 euros a una empresa por haber enviado un correo electrónico a 349 personas sin utilizar el campo copia oculta (CCO).

La empresa fue denunciada por el envío de un mensaje de correo electrónico de fecha 8/5/23 remitido a una pluralidad de destinatarios (en total, según el afectado, 349 personas, todas ellas, en principio, personas que trabajan como «freelance» para la reclamada) sin utilizar la funcionalidad de copia oculta, de modo que las direcciones de los destinatarios resultan visibles para todos ellos.

El dato personal revelado es la dirección de email, muchas de ellas compuestas por el nombre y apellido del interesado.

La AEPD señala que los hechos son constitutivos de infracción por el incumplimiento de lo establecido en los artículos 5.1.f) y 32 del RGPD.

El artículo 5.1.f) “Principios relativos al tratamiento” del RGPD establece:

“1. Los datos personales serán: f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”

Este principio atribuye al responsable del tratamiento de datos personales, la obligación de impedir tratamientos no autorizados o ilícitos de estos datos, su pérdida o destrucción.

Por lo tanto, no debería tratar datos personales si no está en disposición de garantizar la confidencialidad e integridad de estos e impedir que un tercero acceda a datos que no le conciernen, así como evitar su pérdida o destrucción. El responsable del tratamiento está obligado a tratar los datos personales de tal modo que garantice su confidencialidad mediante la aplicación de medidas técnicas u organizativas apropiadas.

Para que se produzca una vulneración del art. 5.1.f) del RGPD, debe de haberse producido una pérdida de confidencialidad o de integridad.

En el presente caso, la documentación obrante en el expediente ofrece indicios de una presunta vulneración por parte de la empresa de lo dispuesto en el artículo 5.1.f) del RGPD, al haberse producido una falta de confidencialidad en el tratamiento de los datos de carácter personal, consecuencia de remitir un correo electrónico con las direcciones de los destinatarios visibles para todos ellos.

El principio de confidencialidad tiene como finalidad evitar que se realicen filtraciones de los datos personales no consentidas por los titulares de estos.
Además la empresa no utilizó el procedimiento de envío de los correos electrónicos cuando van dirigidos a múltiples destinatarios, consistente en utilizar la opción que ofrece la aplicación de correo electrónico a través del campo conocido como «copia oculta» (CCO), permitiendo que cada uno de los receptores tenga a la vista el resto de las direcciones de envío y, por tanto, vulnerando la normativa vigente en materia de protección de datos.

En consecuencia la empresa  no dispuso de las medidas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los sistemas y servicios del tratamiento, lo que supone una infracción del artículo 32 del RGPD.

Expediente N.º: EXP202308752

Más información consulte nuestra página de servicios