Connect with us
Jurisprudencia

Una empresa ha sido multada con 3.000 euros por no poner la copia oculta en un correo electrónico masivo

Las direcciones de los destinatarios, muchas de ellas con nombre y apellidos, eran visibles para las casi 350 personas que recibieron el ‘email’

(Imagen: E&J)

María González Villasevil

Redacción editorial E&J




Tiempo de lectura: 4 min



Jurisprudencia

Una empresa ha sido multada con 3.000 euros por no poner la copia oculta en un correo electrónico masivo

Las direcciones de los destinatarios, muchas de ellas con nombre y apellidos, eran visibles para las casi 350 personas que recibieron el ‘email’

(Imagen: E&J)



Una empresa ha sido sancionada con una multa de 3.000 euros por relevar datos personales al haber enviado un correo electrónico a una pluralidad de destinatarios sin utilizar la funcionalidad de copia oculta. La falta de la copia oculta supuso que las personas que recibieron dicha comunicación, casi 350, tuvieran acceso a todas la direcciones de email, muchas de ellas compuestas por el nombre y apellidos.

La sanción ha sido impuesta por la Agencia Española de Protección de Datos, que recibió una reclamación avisando de tal hecho, el cual, es constitutivo de una infracción del Reglamento General de Protección de Datos.



Pues, según consta en la resolución dictada (disponible en el botón ‘descargar resolución’), la empresa no dispuso de las medidas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los sistemas y servicios de tratamiento de los datos.

La Agencia Española de Protección de Datos. (Imagen: AEPD)

Los hechos

La multa administrativa llega a raíz de una reclamación interpuesta ante la Agencia Española de Protección de Datos (AEPD) contra la citada mercantil.



En dicha reclamación se informaba que en mayo de 2023 la Clidea Desarrollo había enviado un mensaje de correo electrónico remitido a una pluralidad de destinatarios sin utilizar la funcionalidad de copia oculta —en total, según el afectado, 349 personas, toda ellas en principio, personas que trabajan como «freelance» para la reclamada—.

Como consecuencia no de haber puesto la copia oculta en el email, las direcciones de los destinatarios resultan visibles para todos ellos. El dato personal revelado es la dirección de email, muchas de ellas compuestas por el nombre y apellido del interesado.

Junto a la notificación la parte reclamante aportó captura de pantalla del email con la pluralidad de destinatarios sin función de copia oculta y captura de pantalla de email de la parte reclamada pidiendo disculpas por el error cometido en el anterior correo.

La AEPD dio traslado de dicha reclamación a la empresa reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. No obstante, la AEPD no recibió respuesta a dicho escrito de traslado.

En consecuencia, se admitió a trámite la reclamación y la directora de la AEPD, Mar España, acordó iniciar procedimiento sancionar contra la empresa por un tratamiento de datos personales por parte de la empresa en su actividad de negocio.

(Imagen: E&J)

3.000 euros de multa

La Agencia Española de Protección de Datos finalizó dicho procedimiento con una resolución en la que se acordaba que los hechos conocidos eran constitutivos de una infracción por el incumplimiento de los establecido en los artículos 5.1. f) y 32 del Reglamento General de Protección de Datos (RGPD).

Respecto al artículo 5.1. f) del citado Reglamento, el mismo atribuye a la Clinea Desarrollo, como responsable del tratamiento de datos personales, la obligación de impedir tratamientos no autorizados o ilícitos de estos datos, su pérdida o destrucción. Y, por ende, el responsable de tratamiento está obligado a tratar los datos personales de tal modo que garantice su confidencialidad mediante la aplicación de medidas técnicas u organizativas apropiadas.

En el presente caso, la empresa vulneró el citado precepto legal al haberse producido una falta de confidencialidad en el tratamiento de los datos de carácter personal, consecuencia de remitir un correo electrónico con las direcciones de los destinatarios visibles para todos ellos. El principio de confidencialidad tiene como finalidad evitar que se realicen filtraciones de los datos personales no consentidas por los titulares de estos.

En cuanto al artículo 32 del RGPD, que regula la seguridad del tratamiento de los datos, dicho precepto establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos que sean adecuadas al riesgo que conlleve el tratamiento. Asimismo, las medidas de seguridad deben resultar adecuadas y proporcionadas al riesgo detectado.

En el presente caso, la AEPD ha concluido que “Clinea Desarrollo no utilizó el procedimiento de envío de los correos electrónicos cuando van dirigidos a múltiples destinatarios, consistente en utilizar la opción que ofrece la aplicación de correo electrónico a través del campo conocido como «copia oculta» (CCO), permitiendo que cada uno de los receptores tenga a la vista el resto de las direcciones de envío; y, por tanto, vulnerando la normativa vigente en materia de protección de datos”.

En consecuencia, dado que la empresa no dispuso de las medidas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los sistemas y servicios de tratamiento, la AEPD ha impuesto una multa 2.000 euros por infringir el artículo 5.1.f) del citado Reglamento y otra multa de 1.000 euros por infracción del artículo 32 del mismo texto legal.