Multa de 3.000 euros por enviar un correo electrónico

24/10/2023

Multa de 3.000 euros por brecha de seguridad al enviar un correo electrónico a una pluralidad de destinatarios sin usar el campo CCO.

La persona denunciante expone que el dia 28-11-2022 recibio un mensaje de correo electrónico remitido a una pluralidad de destinatarios, entre ellos la parte reclamante, sin haber utilizado por parte del responsable del tratamiento la funcionalidad CCO.

El artículo 4 apartado 12 del RGPD define, de un modo amplio, las violaciones de seguridad de los datos personales como: “…todas aquellas violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos…”.

En el presente caso, consta una brecha de seguridad de datos personales categorizada como una brecha de confidencialidad, como consecuencia del envío de un correo electrónico, en el que se puede apreciar, en copia no oculta, todas las direcciones de correo electrónico de los destinatarios.

La seguridad de los datos personales viene regulada en los artículos 32, 33 y 34 del RGPD, que regulan:

  1. La seguridad del tratamiento.
  2. La notificación de una violación de la seguridad de los datos personales a la autoridad de control.
  3. La comunicación al interesado.

El artículo 5.1.f) -principios relativos al tratamiento- del RGPD establece que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

En el presente caso queda acreditado que se ha producido un acceso no autorizado a las direcciones de correo electrónico de los destinatarios, vulnerándose el principio de confidencialidad, al haberse enviado un correo electrónico, en el que se podía apreciar, en copia no oculta, todas las direcciones de correo electrónico de los destinatarios, lo que supone una vulneración del artículo 5.1.f) del RGPD.

Además en el momento de producirse la brecha, es evidente que el responsable del tratamiento carecía de medidas de seguridad razonables en función de los posibles riesgos estimados, así como que la información y formación dirigida al personal que había de realizar los tratamientos con datos personales era del todo insuficiente, concretamente, respecto al envío de correos electrónicos, lo que supone una vulneración del artículo 32 del RGPD.

Se impone una multa de 2.000 euros por infracción del artículo 5.1.f del RGPD y 1.000 por la infracción del artúclo 32 del RGPD, en total 3.000 euros.

Aquí pueden leer la resolución

Ramon Arnó Torrades
Ceo de La Familia Digital