Multa a una empresa per enviar un correu electrònic a 349 persones sense utilitzar el camp de còpia oculta (CCO)
1.800 euros de multa a una empresa que envia un correu electrònic a 349 persones sense utilitzar el camp còpia oculta (CCO).
Segons l’AEPD, els fets són constitutius d’infracció per l’incompliment del que estableixen els articles 5.1.f) i 32 del RGPD.
L’article 5.1.f) “Principis relatius al tractament” del RGPD estableix:
“1. Les dades personals seran: f) tractades de manera que es garanteixi una seguretat adequada de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de mesures tècniques o organitzatives apropiades («integritat i confidencialitat»). Aquest principi atribueix al responsable del tractament de dades personals, l’obligació d’impedir tractaments no autoritzats o il·lícits d’aquestes dades, la pèrdua o la destrucció”.
Per tant, no hauria de tractar dades personals si no està en disposició de garantir-ne la confidencialitat i integritat i impedir que un tercer accedeixi a dades que no li concerneixen, així com evitar-ne la pèrdua o la destrucció.
El responsable del tractament està obligat a tractar les dades personals de manera que en garanteixi la confidencialitat mitjançant l’aplicació de mesures tècniques o organitzatives apropiades.
Perquè hi hagi una vulneració de l’art. 5.1.f) de l’RGPD, s’ha d’haver produït una pèrdua de confidencialitat o integritat.
En aquest cas, la documentació obrant a l’expedient ofereix indicis d’una presumpta vulneració per part de l’empresa del que disposa l’article 5.1.f) del RGPD, ja que s’ha produït una manca de confidencialitat en el tractament de les dades de caràcter personal, conseqüència de remetre un correu electrònic amb les adreces dels destinataris visibles per a tots.
El principi de confidencialitat té com a finalitat evitar que es facin filtracions de les dades personals no consentides pels seus titulars.
A més, l’empresa no va utilitzar el procediment d’enviament dels correus electrònics quan van dirigits a múltiples destinataris, consistent a utilitzar l’opció que ofereix l’aplicació de correu electrònic a través del camp conegut com a còpia oculta (CCO), permetent que cada un dels receptors tingui a la vista la resta de les adreces d’enviament i, per tant, vulnerant la normativa vigent en matèria de protecció de dades.
En conseqüència l’empresa no va disposar de les mesures adequades per garantir la confidencialitat, integritat i disponibilitat dels sistemes i serveis del tractament, cosa que suposa una infracció de l’article 32 del RGPD.
Ramon Arnó Torrades
CEO de La Família Digital