Si, seguramente fuese un error, pero ya sabemos que los errores se pagan caros, aunque como en este caso pidas disculpas.

El motivo de la denuncia:

Recibir un mensaje de correo electrónico en el que había 349 destinatarios sin copia oculta, que trabajaban como «freelance» para la sancionada.

Dicho email se remitió sin usar la funcionalidad de copia oculta, es decir, siendo visibles las direcciones de los destinatarios para todos ellos.

El denunciante aporta dos capturas de pantalla, una del mail con la pluralidad de destinatarios sin función de copia oculta y otra del email de la parte reclamada pidiendo disculpas por el error cometido.

La doble infracción: confidencialidad y falta de medidas de seguridad adecuadas

Nuevamente la Agencia sanciona la dupla art. 5.1.f) RGPD 2.000€ vulneración del principio de confidencialidad y art. 32 con 1.000€ ya que se trata de una brecha de seguridad ante la falta de medidas de seguridad adecuadas

Es evidente que el error permitió la falta de confidencialidad en el tratamiento de los datos de carácter personal, tras remitir el correo electrónico con las direcciones de los 349 destinatarios visibles.

Recordemos que el principio de confidencialidad tiene como finalidad evitar que se realicen filtraciones de los datos personales no consentidas por sus titulares.

Por otra parte, al no usar la opción conocida como «copia oculta» (CCO), permitió que cada uno de los receptores pudiese conocer el resto de las direcciones de envío, es decir, es sancionado por no disponer de las medidas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los sistemas y servicios del tratamiento.

La reclamada no respondió a la Agencia ni formuló alegaciones, pero asume responsabilidad y paga para reducir el importe de su error.

Aunque la Agencia dio traslada ala reclamada para que “procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos”, no hubo respuesta.

Tampoco hubo alegaciones, pero finalmente paga y asume responsabilidad para acogerse a la doble reducción (20%+20%) y que el error en vez de los 3.000€ propuestos se quedase en 1.800€

Graduación de la sanción por parte de la AEPD:

La Agencia considera que la naturaleza de la infracción es grave por la pérdida de disposición y control irremediable sobre los datos personales y por el número de interesados afectados

Hubo negligencia, ya que como responsable del tratamiento de datos personales debe ser consciente de su deber de prever adecuadas medidas técnicas y organizativas

Conclusiones:

Los errores se pagan, aunque es cierto que todos podemos cometerlos, una entidad que envía correos masivos debería de contar con una herramienta para ello, ¿herramienta que ayuda a mitigar errores, no?.

En definitiva, piensa si puedes hacer algo para eliminar o mitigar riesgos, algo que el RGPD y la LOPDGDD tienen por bandera.

El dato personal revelado es la dirección de email, normalmente compuestas por el nombre y apellido del interesado, que ha visto como 349 personas conocen su email y que trabaja como freelance para dicha empresa.

Enlace a la resolución de fecha 23/09/2024

Artículo publicado por:

Rafael Varela
EUROVIMA CONSULTING