L’APDCAT sanciona amb una multa de 1.800 euros una empresa que actua com a encarregada de tractament per difondre més de 50 adreces de correu sense fer servir la còpia oculta.

Assenyala que ha quedat acreditat que l’empresa denunciada va enviar sis correus electrònics, des de diversos comptes corporatius, adreçats a familiars i tutores de persones usuàries d’una residència sense fer ús de la funcionalitat de còpia oculta (CCO).

De l’anàlisi de l’incident esmentat, l’Oficina de Protecció de Dades i Privadesa de l’empresa i la delegada de Protecció de Dades van concloure que l’enviament havia estat provocat per un error humà originat per l’incompliment dels procediments interns.

En el cas que aquí s’analitzi és clar que els enviaments dels correus controvertits, que es va produir no una sola vegada de manera puntual i aïllada, sinó sis vegades, van ser fruit d’una manca de diligència del personal de l’encarregat de tractament.

Cal assenyalar que en aquest procediment no se sanciona la manca d’implementació de mesures de seguretat, sinó el fet d’haver vulnerat la confidencialitat de les dades.

Aquesta obligació està prevista als articles 5.1.f del RGPD i 5 del LOPDGDD i té un contingut diferent de les obligacions descrites als articles 25 i 32 del RGPD, vinculades amb mesures de seguretat.

Dit d’una altra manera:

1. Una cosa és l’obligació que té el responsable o encarregat del tractament d’implementar les mesures tècniques i organitzatives pertinents per evitar la pèrdua, la destrucció o el dany accidental de les dades, o el tractament no autoritzat o il·lícit.
2. Un altre deure de confidencialitat que incumbeix als responsables, encarregats ia totes les persones que prestin servei a les seves organitzacions, en relació amb les dades objecte de tractament.

Així, doncs, es pot donar una vulneració de la confidencialitat de les dades, com és el cas que aquí ens ocupa, amb independència que el responsable o encarregat del tractament tinguin implementades unes mesures de seguretat adequades.

En relació amb els fets descrits a l’apartat de fets provats, relatius a l’enviament de missatges electrònics sense emprar l’opció de còpia oculta, heu d’acudir a l’article 5.1.f del RGPD, que preveu el següent:

“ … Les dades personals seran tractades de manera que es garanteixi una seguretat adequada a les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de mesures tècniques o organitzatives apropiades (integritat i confidencialitat) …”.

Aquest principi d’integritat i confidencialitat previst pel RGPD s’ha de complementar amb el deure de confidencialitat que recull l’article 5 del LOPDGDD, el qual estableix:

… Article 5. Deure confidencialitat.

1. Els responsables i encarregats del tractament de dades així com totes les persones que intervenen en qualsevol fase del mateix estan subjectes al deure de confidencialitat a què fa referència l’article 5.1.f) del Reglament (UE) 2016/679.
2. L’obligació general que assenyala l’apartat anterior es complementaria dels deures de secret professional de conformitat amb la normativa aplicable.
3. Les obligacions que estableixen els apartats anteriors encara es mantenen que hagi finalitzat la relació de l’obligat amb el responsable o encarregat del tractament…”.

S’ha acreditat que els fets són constitutius de la infracció prevista a l’article 83.5.a del RGPD, que tipifica la vulneració dels principis bàsics per al tractament, entre ells el de confidencialitat i que la conducta és una infracció molt greu de l’article 72.1 .i de la LOPDGDD.

Aquí la resolució

Ramon Arnó Torrades
Ceo de La Família Digital