5.000 euros de multa por enviar correos electrónicos sin copia oculta

13/04/2023

5.000 euros de multa al enviar diversos correos electrónicos sin copia oculta (cco).

Se denuncia ante la Agencia Española de Protección de Datos a una empresa que envió diversos mensajes sin utilizar la copia oculta o cco, con lo que se divulgaron unas 200 direcciones de correo electrónico, infracción que además es una brecha de seguridad.

La AEPD requiere a la empresa en los siguientes términos:

  1. Motivo por el cual se remitió el correo que se adjunta a este requerimiento sin copia oculta, es decir, mostrando las direcciones del resto de destinatarios a todos ellos.
  2. Descripción del procedimiento establecido para la remisión de este tipo de comunicaciones. Copia de las instrucciones dirigidas al personal encargado de su envío.
  3. Acciones tomadas con objeto de minimizar los efectos adversos de este incidente y las adoptadas para su resolución final indicando las fechas en que se han ejecutado.
  4. En su caso, motivo por el cual no se ha notificado la brecha de seguridad a esta Agencia.
  5. En su caso, información sobre la notificación de la brecha de seguridad a los afectados indicando el medio de remisión y aportando copia de la notificación remitida.
  6. En su caso, información sobre si se han producido otros envíos de correos similares sin copia oculta de los destinatarios.
  7. Medidas técnicas y organizativas adoptadas para evitar, en lo posible, incidentes de seguridad como el sucedido.

El artículo 5 del RGPD establece los principios que han de regir el tratamiento de los datos personales y menciona entre ellos el de “integridad y confidencialidad”.

Señala que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

La documentación obrante en el expediente ofrece indicios evidentes de que el reclamado, vulneró el artículo 5 del RGPD, principios relativos al tratamiento, al remitir correo electrónico sin utilizar la opción de copia oculta vulnerando la confidencialidad en el tratamiento de los datos de carácter personal.

De este modo, la reclamante tuvo acceso a las direcciones de correo electrónico del resto de destinatarios.

Este deber de confidencialidad, debe entenderse que tiene como finalidad evitar que se realicen accesos a los datos no consentidas por los titulares de los mismos.

Por tanto, ese deber de confidencialidad es una obligación que incumbe no sólo al responsable y encargado del tratamiento sino a todo aquel que intervenga en cualquier fase del tratamiento y complementaria del deber de secreto profesional.

El RGPD define las violaciones de seguridad de los datos personales como:

“Todas aquellas violaciones de la seguridad que ocasionen la destrucción, perdida o alteración accidental o ilícita de datos personales trasmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

De la documentación obrante en el expediente se ofrecen indicios evidentes de que el reclamado también ha vulnerado el artículo 32 del RGPD, al producirse un incidente de seguridad al remitir correo electrónico a un número elevado de destinatarios sin la función de copia oculta, sin disponer de medidas técnicas y organizativas adecuadas.

Se imponen dos multas por un importe total de 5.000 euros:

  • 3.000 euros por vulneración del artículo 5.1.f) del RGPD del deber de secreto
  • 2.000 euros por infracción del artículo 32.1 del RGPD del deber de seguridad

Aquí puede leer la resolución

Ramon Arnó Torrades
Ceo de La Familia Digital