Sancionado un asilo de ancianos por el envío masivo de correos electrónicos a los familiares de los residentes
En las comunicaciones se veían los nombres, apellidos y direcciones electrónicas de todos los destinarios
(Imagen: E&J)
Sancionado un asilo de ancianos por el envío masivo de correos electrónicos a los familiares de los residentes
En las comunicaciones se veían los nombres, apellidos y direcciones electrónicas de todos los destinarios
(Imagen: E&J)
La Agencia Española de Protección de Datos (AEPD) ha sancionado con 1.000 euros a un asilo de ancianos por hacer un uso ilícito de los datos personales de los familiares de los residentes.
Concretamente, la residencia realizó hasta en 6 ocasiones un envío masivo de comunicaciones a través de correos electrónicos, incluyendo en dichos envíos numerosas direcciones de correos eran visibles para los demás destinatarios, al no haber puesto las mismas en copia oculta.
En la resolución (disponible en el botón ‘descargar resolución’) la AEPD considera que estos hechos son constitutivos de dos infracciones de la normativa de protección de datos. La primera, que al remitirse los correos electrónicos, el asilo no había previsto las medidas de seguridad razonables en función de los posibles riesgos estimados; y la segunda infracción es que existió una brecha de confidencialidad de los datos personales, al haberse remitido varios correos electrónicos que incluían los datos personales numerosas personas.
(Imagen: E&J)
El caso
La sanción llega a raíz de que una afectada por dichas comunicaciones interpusiera una reclamación ante la Agencia Española de Protección de Datos informando de los hechos. La reclamante ponía de manifiesto que cuando enviaban correos electrónicos desde la dirección de correo electrónico de la residencia, éstos se envían de manera masiva a todos los familiares de los residentes, dejando expuestos los correos electrónicos y nombres y apellidos.
La reclamante aseguraba que este hecho se producía de manera reiterativa, y que a pesar de haberlo comunicado en varias ocasiones a la residencia, los emails seguían llegando de la misma manera.
Junto a la reclamación se aportaron 6 correos electrónicos que envió el centro entre 2021 y 2023. En una de esas comunicaciones se informaba sobre cambios y pautas en relación a las visitas y fue enviado a 51 destinarios; otro sobre la vacunación y la gripe, dirigido a 50 destinarios; otro sobre la nueva directora del asilo, enviado a 23 destinarios; otra comunicación era relativa a informar sobre la ampliación de la información, dirigida a 58 destinarios; y una última comunicación felicitando las fiestas, en esta ocasión, enviada a 55 destinarios.
En todas las comunicaciones enviadas de manera masiva a los familiares de los residentes del asilo, eran visibles las direcciones de correo electrónico, así como los nombres y apellidos de las personas a quienes se enviaban dichos correos.
La AEPD dio traslado de dicha reclamación a la parte reclamada para que procediese a su análisis e informase de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. No obstante, el asilo no dio respuesta a dicho escrito de traslado.
(Imagen: E&J)
Los correos se enviaron sin copia oculta
La Agencia ha concluido en la resolución emitida, sancionando al asilo de anciano, que los hechos son constitutivos de dos infracciones del Reglamento General de Protección de Datos (RGPD).
Por un lado, el asilo ha vulnerado el artículo 5.1 f) del RGPD por cuanto el mismo recoge que “los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad”.
En el presente caso, consta que se ha producido una brecha de datos personales, categorizada como brecha de confidencialidad, al haberse remitido varios correos electrónicos que incluían los datos personales de numerosas personas. Pues se enviaron dichos correos electrónicos sin la funcionalidad de copia oculta, es decir, constando todos los destinatarios de dichos correos electrónicos.
La AEPD asegura que “como consecuencia del envío de estos correos electrónicos se ha ocasionado la comunicación no autorizada de las direcciones de correo electrónico de todas las personas que aparecen como destinatarios del correo”.
Como consecuencia de la vulneración del artículo 5.1 f) del RGPD, el asilo ha sido sancionado con una multa administrativa de 600 euros.
(Imagen: E&J)
El asilo no previó medidas de seguridad en el envío
Por otro lado, la AEPD también ha razonado que los hechos ocurridos suponen una vulneración del artículo 32 del RGPD, por cuanto ha quedado acreditad que al remitirse los correos electrónicos, el asilo ancianos “no había previsto las medidas de seguridad razonables en función de los posibles riesgos estimados a los que se refiere el artículo 32 del Reglamento”.
A efectos de decidir la cuantía de la multa administrativa correspondiente por la vulneración de dicho precepto legal, la Agencia ha tenido en cuenta la condición de pequeña empresa y el volumen de negocio de la empresa. En consecuencia, por dicha infracción, el asilo ha sido sancionado con la cantidad de 400 euros.
