Multa de 3.000 euros per enviar un correu electrònic

24/10/2023

Multa de 3.000 euros per una escletxa de seguretat en enviar un correu electrònic a una pluralitat de destinataris sense fer servir el camp CCO.

La persona denunciant exposa que el dia 28-11-2022 va rebre un missatge de correu electrònic remès a una pluralitat de destinataris, entre ells la part reclamant, sense haver utilitzat per part del responsable del tractament la funcionalitat CCO.

L’article 4 apartat 12 del RGPD defineix, de manera àmplia, les violacions de seguretat de les dades personals com: “…totes aquelles violacions de la seguretat que ocasionin la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o accés no autoritzats a aquestes dades…”.

En aquest cas, consta una escletxa de seguretat de dades personals categoritzada com una escletxa de confidencialitat, com a conseqüència de l’enviament d’un correu electrònic, en què es pot apreciar, en còpia no oculta, totes les adreces de correu electrònic dels destinataris .

La seguretat de les dades personals ve regulada als articles 32, 33 i 34 del RGPD, que regulen:

  1. La seguretat del tractament.
  2. La notificació d’una violació de la seguretat de les dades personals a l’autoritat de control.
  3. La comunicació a l’interessat.

L’article 5.1.f) -principis relatius al tractament- del RGPD estableix que les dades personals seran tractades de tal manera que es garanteixi una seguretat adequada de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant laplicació de mesures tècniques o organitzatives apropiades («integritat i confidencialitat»).

En aquest cas queda acreditat que s’ha produït un accés no autoritzat a les adreces de correu electrònic dels destinataris, vulnerant-se el principi de confidencialitat, en haver-se enviat un correu electrònic, on es podia apreciar, en còpia no oculta, totes les adreces de correu electrònic dels destinataris, cosa que suposa una vulneració de l’article 5.1.f) del RGPD.

A més a més en el moment de produir-se la bretxa, és evident que el responsable del tractament mancava de mesures de seguretat raonables en funció dels possibles riscos estimats, així com que la informació i formació adreçada al personal que havia de realitzar els tractaments amb dades personals era del tot insuficient, concretament, respecte a l’enviament de correus electrònics, fet que suposa una vulneració de l’article 32 del RGPD.

S’imposa una multa de 2.000 euros per infracció de l’article 5.1.f de l’RGPD i 1.000 per la infracció de l’article 32 del RGPD, 3.000 euros en total.

Aquí podeu llegir la ressolució

Ramon Arnó Torrades
Ceo de La Família Digital