Sanción AEPD por envío de correos sin copia oculta

 

Enviar correos electrónicos sin ocultar los contactos,  puede salirte muy caro. Así se pone de manifiesto en la sanción de 5.000 euros impuesta por este motivo por la AEPD

Este es un ejemplo típico de las sanciones de protección de datos:  vulnerar la información confidencial por una mala práctica al descuidar las medidas de seguridad como responsable de un tratamiento de datos personales.

 HECHOS

 Con fecha 09/08/2021 se interpone reclamación ante la AEPD por la recepción de mensajes, publicitando un evento, procedentes de la dirección de email ** perteneciente al reclamado, sin que los destinatarios figurasen en copia oculta.

El reclamado, no responde a la AEPD, cuando le dan traslado de  la reclamación para  conocer su versión. Tampoco responde al posterior requerimiento solicitándole información en relación a una serie de cuestiones  objeto de la investigación.

Con fecha 29/04/2022 La Directora de la Agencia Española de Protección de Datos,  inicia procedimiento sancionador, notificado el acuerdo de inicio sin que se hubiese presentado alegaciones .

 INFRACCIÓN COMETIDA

 Se produce la infracción de los artículos 32.1 y 5.1.f del RGPD, que establece,  entre los principios que han de regir el tratamiento de los datos personales,  la integridad y confidencialidad. Principios que se han incumplido, al igual que la seguridad de los datos.

 La documentación obrante en el expediente ofrece indicios evidentes de que el reclamado, vulneró principios relativos al tratamiento al remitir un correo electrónico sin utilizar la opción de copia oculta vulnerando de este modo, la confidencialidad del tratamiento y permitiendo el acceso de la reclamante a las direcciones de correo electrónico del resto de destinatarios. 

 Además, la AEPD incide en la vulneración de la seguridad del tratamiento, especificada en el artículo 32 del RGPD, en donde el encargado del tratamiento no ha aplicado las medidas técnicas y organizativas necesarias en función del riesgo, como serían la seudonimización y el cifrado de los datos personales, o la capacidad de restaurar la disponibilidad y acceso a datos personales de forma rápida tras un incidente (físico o técnico), entre otras.

 SANCION

 En la resolución se pueden consultar las tipificaciones de cada infracción.

Se estima adecuado imponer por parte de la AEPD, por vulneración del art. 5.1.f del RGPD,   una sanción de 3000 € y por la vulneración del art. 32.1 RGPD,  otros  2000€. Esta resolución pone fin a la vía administrativa .

 

Resoluciones sancionadoras como ésta, nos permiten constatar que aún no están suficientemente asentadas algunas prácticas como el uso de la copia oculta en el envío masivo de emails, por lo que recomendamos a las empresas la realización periódica de formación en protección de datos entre su personal.

Resolución AEPD