Multa de 1.800 euros por difundir más de 50 direcciones de correo sin utilizar la copia oculta
La APDCAT sanciona con una multa de 1.800 euros a una empresa que actúa como encargada de tratamiento para difundir más de 50 direcciones de correo sin utilizar la copia oculta.
Señala que ha quedado acreditado que la empresa denunciada envió seis correos electrónicos, desde varias cuentas corporativas, dirigidas a familiares y tutoras de personas usuarias de una residencia sin hacer uso de la funcionalidad de copia oculta (CCO).
Del análisis de dicho incidente, la Oficina de Protección de Datos y Privacidad de la empresa y la delegada de Protección de Datos concluyeron que el envío había sido provocado por un error humano originado por el incumplimiento de los procedimientos internos.
En caso de que aquí se analice está claro que los envíos de los correos controvertidos, que se produjo no una sola vez de manera puntual y aislada, sino seis veces, fueron fruto de una falta de diligencia del personal del encargado de tratamiento.
Cabe señalar que en este procedimiento no se sanciona la falta de implementación de medidas de seguridad, sino haber vulnerado la confidencialidad de los datos.
Esta obligación está prevista en los artículos 5.1.f del RGPD y 5 del LOPDGDD y tiene un contenido diferente a las obligaciones descritas en los artículos 25 y 32 del RGPD, vinculadas con medidas de seguridad.
Dicho de otra forma:
- Una cosa es la obligación que tiene el responsable o encargado del tratamiento de implementar las medidas técnicas y organizativas pertinentes para evitar la pérdida, destrucción o daño accidental de los datos, o el tratamiento no autorizado o ilícito.
- Otro deber de confidencialidad que incumbe a los responsables, encargados ya todas las personas que presten servicio en sus organizaciones, en relación a los datos objeto de tratamiento.
Así pues, puede darse una vulneración de la confidencialidad de los datos, como es el caso que aquí nos ocupa, con independencia de que el responsable o encargado del tratamiento tengan implementadas unas medidas de seguridad adecuadas.
En relación con los hechos descritos en el apartado de hechos probados, relativos al envío de mensajes electrónicos sin utilizar la opción de copia oculta, debe acudir al artículo 5.1.f del RGPD, que prevé lo siguiente:
“ … Los datos personales serán tratados de forma que se garantice una seguridad adecuada a los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad) …”.
Este principio de integridad y confidencialidad previsto por el RGPD debe complementarse con el deber de confidencialidad que recoge el artículo 5 del LOPDGDD, el cual establece:
… Artículo 5. Deber de confidencialidad.
- Los responsables y encargados del tratamiento de datos así como todas las personas que intervienen en cualquier fase del mismo están sujetos al deber de confidencialidad a que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.
- La obligación general señalada en el apartado anterior se complementaría de los deberes de secreto profesional de conformidad con la normativa aplicable.
- Las obligaciones establecidas en los apartados anteriores todavía se mantienen que haya finalizado la relación del obligado con el responsable o encargado del tratamiento…”.
Se ha acreditado que los hechos son constitutivos de la infracción prevista en el artículo 83.5.a del RGPD, que tipifica la vulneración de los principios básicos para el tratamiento, entre ellos el de confidencialidad y que la conducta es una infracción muy grave de artículo 72.1 .i de la LOPDGDD.
Ramon Arnó Torrades
Ceo de La Familia Digital