Multa a una empresa por enviar un correo electrónico a 349 personas sin utilizar el campo de copia oculta (CCO)

15/10/2024

1.800 euros de multa a una empresa que envía un correo electrónico a 349 personas sin utilizar el campo copia oculta (CCO).

Según señala la AEPD los hechos son constitutivos de infracción por el incumplimiento de lo establecido en los artículos 5.1.f) y 32 del RGPD.

El artículo 5.1.f) “Principios relativos al tratamiento” del RGPD establece:

“1. Los datos personales serán: f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»). Este principio atribuye al responsable del tratamiento de datos personales, la obligación de impedir tratamientos no autorizados o ilícitos de estos datos, su pérdida o destrucción”.

Por lo tanto, no debería tratar datos personales si no está en disposición de garantizar la confidencialidad e integridad de estos e impedir que un tercero acceda a datos que no le conciernen, así como evitar su pérdida o destrucción.

El responsable del tratamiento está obligado a tratar los datos personales de tal modo que garantice su confidencialidad mediante la aplicación de medidas técnicas u organizativas apropiadas.

Para que se produzca una vulneración del art. 5.1.f) del RGPD, debe de haberse producido una pérdida de confidencialidad o de integridad.

En el presente caso, la documentación obrante en el expediente ofrece indicios de una presunta vulneración por parte de la empresa de lo dispuesto en el artículo 5.1.f) del RGPD, al haberse producido una falta de confidencialidad en el tratamiento de los datos de carácter personal, consecuencia de remitir un correo electrónico con las direcciones de los destinatarios visibles para todos ellos.

El principio de confidencialidad tiene como finalidad evitar que se realicen filtraciones de los datos personales no consentidas por los titulares de estos.

Además la empresa no utilizó el procedimiento de envío de los correos electrónicos cuando van dirigidos a múltiples destinatarios, consistente en utilizar la opción que ofrece la aplicación de correo electrónico a través del campo conocido como copia oculta (CCO), permitiendo que cada uno de los receptores tenga a la vista el resto de las direcciones de envío y, por tanto, vulnerando la normativa vigente en materia de protección de datos.

En consecuencia la empresa  no dispuso de las medidas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los sistemas y servicios del tratamiento, lo que supone  una infracción del artículo 32 del RGPD.

Aquí la resolución

Ramon Arnó Torrades
CEO de La Familia Digital