Empresa sancionada por no utilizar copia oculta en correos masivos. La infracción del RGPD

Una reciente sanción de 3.000 euros impuesta por la Agencia Española de Protección de Datos a la empresa Clidea Desarrollo ha destacado la importancia de aplicar correctamente las medidas de protección de datos en las comunicaciones electrónicas. La sanción se originó tras el envío de un correo electrónico masivo a 349 destinatarios sin utilizar la función de copia oculta (CCO), lo que provocó que las direcciones de correo, muchas de ellas con nombres y apellidos, fueran visibles para todos los receptores.

Este comportamiento vulnera dos preceptos clave del Reglamento General de Protección de Datos (RGPD): el artículo 5.1.f), que establece el principio de confidencialidad, y el artículo 32, que regula la necesidad de implementar medidas de seguridad adecuadas para proteger los datos personales durante su tratamiento.

Al no emplear la función CCO, la empresa permitió que se revelaran datos personales, lo que es considerado una infracción directa de las obligaciones impuestas por el RGPD.

Obligación de garantizar la confidencialidad

El artículo 5.1.f) del RGPD impone a las empresas la obligación de garantizar la confidencialidad de los datos personales que gestionan. Esto significa que deben adoptarse todas las medidas necesarias para evitar que personas no autorizadas accedan a dichos datos, ya sea por negligencia o error. En este caso, la divulgación de las direcciones de correo electrónico de los destinatarios a otros receptores del correo supone una violación de este principio, ya que la empresa no protegió adecuadamente la información personal de los afectados.

Además, esta falta de confidencialidad puede afectar negativamente a la imagen de la empresa y generar desconfianza entre sus empleados o colaboradores, como sucedió con los freelancers cuyas direcciones fueron expuestas. El RGPD exige que cualquier dato personal sea tratado de manera segura y que se eviten situaciones como la ocurrida, donde terceros tienen acceso a información sin la autorización de sus titulares.

Medidas de seguridad insuficientes

El artículo 32 del RGPD establece que el responsable del tratamiento debe aplicar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, ajustándose al riesgo que conlleva el tratamiento de esos datos. En este sentido, el uso de la función de copia oculta (CCO) es una medida básica y sencilla que debe emplearse siempre que se envíen correos electrónicos a múltiples destinatarios, especialmente cuando las direcciones incluyen datos que permiten identificar a las personas, como nombres y apellidos.

La empresa, al no emplear esta medida mínima, incumplió con la obligación de proteger los datos personales de forma proporcional al riesgo asociado. Si bien este tipo de incidentes puede parecer menor, el RGPD establece que todas las medidas, por básicas que sean, deben ser implementadas de manera adecuada para prevenir filtraciones de información.

El procedimiento sancionador

La AEPD intervino tras recibir una reclamación en mayo de 2023 por parte de uno de los afectados, quien aportó pruebas gráficas del correo electrónico enviado sin copia oculta, así como de una disculpa posterior emitida por la empresa. La Agencia dio traslado de la reclamación a Clidea Desarrollo para que informara sobre las medidas adoptadas, pero la empresa no respondió dentro del plazo establecido, lo que llevó a la apertura del procedimiento sancionador.

La resolución final de la AEPD consideró que los hechos constituían una infracción del RGPD, imponiendo una multa de 3.000 euros: 2.000 euros por la violación del artículo 5.1.f), al no proteger la confidencialidad de los datos y 1.000 euros por incumplir el artículo 32, al no aplicar las medidas de seguridad adecuadas.