Izquierda Unida, sancionada con 5.000 euros por vulnerar la protección de datos de sus afiliados

El partido Izquierda Unida (IU) ha sido sancionado con 5.000 euros por vulnerar la protección de datos de sus afiliados al haber remitido a múltiples destinatarios un correo electrónico sin ocultar sus direcciones electrónicas de estos.

La multa ha sido impuesta por la Agencia Española de Protección de Datos (AEPD), en cuya resolución (disponible en el botón ‘descargar resolución’) se ha dictaminado que el partido político, en aras de informar a sus afiliados sobre un ciclo de conferencias, no adoptó las medidas de seguridad adecuadas al enviar el un correo electrónico a múltiples destinatarios sin el uso de la funcionalidad “con copia oculta”, cometiendo así una infracción por no guardar la debida seguridad en el tratamiento de los datos.

Asimismo, la AEPD considera que IU también vulneró el principio de confidencialidad de sus afiliados, ya que en el envió del correo electrónico eran visibles las direcciones de cuentas de correo electrónico, el nombre y apellido de todos los destinarios, así como sus datos de afiliación política.

(Imagen: IU Miranda de Ebro)

El partido no puso copia oculta en un correo masivo

Las multas administrativas llegan a raíz de que la Agencia Española de Protección de Datos recibiera el pasado mes de enero dos reclamaciones de dos afiliados al partido político poniendo en conocimiento de esta institución de los hechos.

Concretamente, en las reclamaciones se manifestaba que Izquierda Unida Valladolid había remitido el pasado 29 de enero a múltiples destinatarios sin ocultar sus direcciones electrónicas (entre las que figuraban las partes reclamantes) una comunicación electrónica con ocasión de informar a sus afiliados sobre un ciclo de conferencias.

Junto a las reclamaciones interpuestas ante la AEPD se aportaron una copia y una captura de pantalla de dicha comunicación electrónica, en la que aparecían “en copia” 148 direcciones de correo electrónico en las que se podían ver, además del correo, el nombre y apellidos de los destinarios.

La AEPD, tras conocer los hechos, dio traslado de estas reclamaciones al partido político para que, en el plazo de un mes, informase a la Agencia de las acciones llevadas a cabo para adecuarse a los requisitos previstas en la normativa de protección de datos. Izquierda Unida, por su parte, respondió adjuntado un plan de cumplimiento normativa y un anexo que hacía referencia al correo que envió a todos los destinatarios por “error”.

(Imagen: E&J)

IU no adoptó las medidas necesarias en el envío y vulneró el deber de confidencialidad

La Agencia admitió a trámite las reclamaciones e inició un procedimiento sancionador en el que finalmente determino que Izquierda Unida había infringido el artículos 32 —en relación con la seguridad del tratamiento de los datos de carácter personal— y el artículo 5.1 f) —en relación con el deber de confidencialidad— del Reglamento General de Protección de Datos.

Pues, en lo que respecta a las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, la AEPD afirma que “los hechos producidos aportan indicios de la inexistencia de medidas de seguridad adecuadas en relación con el envío de comunicaciones dentro de la organización y, en particular, aquellas que garanticen la no revelación de las direcciones de correo electrónico a las que se dirigen”; y ello por cuanto la parte reclamada utilizó una cuenta de correo electrónico de la organización sin el uso de la funcionalidad “con copia oculta”.

Por tanto, el partido político no adoptó las medidas de seguridad adecuadas al enviar el un correo electrónico a múltiples destinatarios sin el uso de la funcionalidad “con copia oculta”. Por ello, se ha cometido una infracción por no guardar la debida seguridad en el tratamiento de los datos establecida en el artículo 32 del RGPD.

En cuanto al principio de confidencialidad en el tratamiento de datos, dicho principio exige la protección de los datos personales contra accesos, usos y divulgaciones no autorizados. En el presente caso, IU envió un correo electrónico a múltiples destinarios y en el que eran visibles las direcciones de cuentas de correo, así como el nombre y apellidos de todos los destinarios, revelándose a los destinatarios el dato de afiliación político. En consecuencia, el partido ha infringido el principio de confidencialidad establecido en el artículo 5.1. f) del RGPD.

Por estas dos vulneraciones cometidas, la Agencia Española de Protección de Datos ha impuesto una multa administrativa a Izquierda Unida cuya cuantía total asciende a 5.000 euros —de los cuales, 3.000 euros corresponden a la infracción del artículo 32 del RGPD y 2.000 euros a la infracción del artículo 5.1 f) del RGPD—.