El envío de un mail sin “copia oculta” mereció una multa de 9000 euros por la Agencia Española de Protección de Datos, que consideró que el accionar dejó en evidencia los correos electrónicos de los destinatarios frente a terceros, lo que consideraron violatorio de varios artículos del RGPD
Enviar un mail sin “copia oculta” resultó caro para una firma española debido a que la Agencia Española de Protección de Datos resolvió imponer a la firma E. R. D. P. I. S.L. una multa de €6000 por infringir el artículo 5.1 f) del RGPD (violar el principio de integridad y confidencialidad) tipificado en el artículo 83.5 a) del RGPD y otra por €3000 por infringir el artículo 32 del RDPD (no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes) tipificado en el artículo 83.4 a) del RGPD.
Resulta que una persona interpuso un reclamo ante la AEPD donde expuso que la entidad reclamada “mediante correo electrónico remitido a una pluralidad de personas en fecha 24 de noviembre de 2021, expuso sin su consentimiento su dirección de correo electrónico a terceros”, por lo que iniciado el procedimiento, y notificado al responsable, ante la falta de respuestas de la parte reclamada, aún cuando se le indicó los hechos, la infracción del RGPD atribuida y la sanción que podría imponerse, en virtud del art. 64.2.f) del Procedimiento Administrativo Común de las Administraciones Pública, se consideró el acuerdo de apertura como propuesta de resolución.
Al remitir el correo plural sin utilizar la modalidad de copia oculta, “ha cedido sus datos a terceros sin causa que lo legitime y por tanto ha realizado un tratamiento de sus datos personales contrario a derecho.”
La Agencia consideró probados los hechos alegados por el reclamante ante la falta de respuesta del reclamado, y por ello procedió a hacer el análisis jurídico de la situación.
Explicaron que el artículo 5 del RGPD establecía los principios relativos al tratamiento de datos de carácter personal que en su apartado f), disponía que lo datos personales serán “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”.
Por otro lado, el artículo 32 disponía la seguridad del tratamiento de datos personales con una serie de pautas a seguir para ello y finalmente el artículo 73.f) de la LOPDGDD establecía “infracciones consideradas graves” y entre ellas, figuraba “La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento”
Por ello concluyeron en que, al remitir el correo plural sin utilizar la modalidad de copia oculta, “ha cedido sus datos a terceros sin causa que lo legitime y por tanto ha realizado un tratamiento de sus datos personales contrario a derecho.”