5.000 euros de multa per enviar correus electrònics sense còpia oculta

13/04/2023

5.000 euros de multa en enviar diversos correus electrònics sense còpia oculta (cco).

Es denuncia davant l’Agència Espanyola de Protecció de Dades a una empresa que va enviar diversos missatges sense utilitzar la còpia oculta o cco, de manera que es van divulgar unes 200 adreces de correu electrònic, infracció que a més és una bretxa de seguretat.

L’AEPD requereix a l’empresa en els termes següents:

  1. Motiu pel qual es va remetre el correu que s’adjunta a aquest requeriment sense còpia oculta, és a dir, mostrant les adreces de la resta de destinataris a tots ells.
  2. Descripció del procediment establert per a la remissió daquest tipus de comunicacions. Còpia de les instruccions adreçades al personal encarregat del seu enviament.
  3. Accions preses a fi de minimitzar els efectes adversos d’aquest incident i les adoptades per a la resolució final indicant les dates en què s’han executat.
  4. Si és el cas, motiu pel qual no s’ha notificat la bretxa de seguretat a aquesta Agència.
  5. Si és el cas, informació sobre la notificació de la bretxa de seguretat als afectats indicant el mitjà de tramesa i aportant còpia de la notificació remesa.
  6. Si escau, informació sobre si s’han produït altres enviaments de correus similars sense còpia oculta dels destinataris.
  7. Mesures tècniques i organitzatives adoptades per evitar, en la mesura del possible, incidents de seguretat com el succeït.

L’article 5 del RGPD estableix els principis que han de regir el tractament de les dades personals i esmenta entre ells el “d’integritat i confidencialitat”.

Assenyala que les dades personals seran tractades de manera que es garanteixi una seguretat adequada de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l’aplicació de mesures tècniques o organitzatives apropiades («integritat i confidencialitat»).

La documentació obrant a l’expedient ofereix indicis evidents que el reclamat, va vulnerar l’article 5 del RGPD, principis relatius al tractament, en remetre correu electrònic sense utilitzar l’opció de còpia oculta vulnerant la confidencialitat en el tractament de les dades de caràcter personal.

D’aquesta manera, la reclamant va tenir accés a les adreces de correu electrònic de la resta de destinataris.

Aquest deure de confidencialitat s’ha d’entendre que té com a finalitat evitar que es facin accessos a les dades no consentides pels titulars dels mateixos.

Per tant, aquest deure de confidencialitat és una obligació que incumbeix no només el responsable i encarregat del tractament sinó tot aquell que intervingui en qualsevol fase del tractament i complementària del deure secret professional.

El RGPD defineix les violacions de seguretat de les dades personals com:

“Totes aquelles violacions de la seguretat que ocasionin la destrucció, pèrdua o alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o accés no autoritzats a aquestes dades”.

De la documentació obrant a l’expedient s’ofereixen indicis evidents que el reclamat també ha vulnerat l’article 32 del RGPD, en produir-se un incident de seguretat en remetre correu electrònic a un nombre elevat de destinataris sense la funció de còpia oculta, sense disposar de mesures tècniques i organitzatives adequades.

S’imposen dues multes per un import total de 5.000 euros:

  • 3.000 euros per vulneració de l’article 5.1.f) del RGPD del deure secret.
  • 2.000 euros per infracció de l’article 32.1 del RGPD del deure seguretat.

Aquí podeu llegir la resolució

Ramon Arnó Torrades
Ceo de La Família Digital