Debemos reconocerlo. A todos nos ha pasado, por ir con prisas y no fijarnos o simplemente porque en el momento supremo de enviar el correo una distracción –llaman al móvil o alguien nos interrumpe – hace que enviemos los correos a un conjunto de destinatarios sin poner en copia oculta (CCO). Y una vez pulsada la tecla de Enviar, sale, inevitablemente de lo más profundo de nuestra garganta, un “Ay!” que se hace sentir por toda la estancia. Sin embargo, ya es tarde. Irremediablemente tarde.
Pues eso le ocurrió a una inmobiliaria aquí, en Terrassa. Y, como no puede ser de otra forma, con consecuencias no deseadas (ver resolución AEPD). Por la empresa y, lo que es peor, por los destinatarios que vieron expuestos sus datos personales. Vamos a contarlo.
Los hechos
Una empresa inmobiliaria remite un correo electrónico, a una pluralidad de destinatarios, sin utilizar la modalidad de copia oculta, lo que permite que terceros tengan conocimiento de la dirección de correo electrónico del reclamante. ¿Fácil de entender? Pues sí. No se pueden desvelar datos personales, ni siquiera el correo, porque vulnera el artículo 5.1.f) del RGPD. Y el 32 también, como veremos.
Las consideraciones de la AEPD
La Agencia considera que la entidad reclamada, con su actuación, ha cedido los datos a terceros sin causa que lo legitime y, por tanto, ha realizado un tratamiento de los datos personales, cuya custodia tiene encomendada, contrario a derecho . La empresa ha violado el principio de integridad y confidencialidad (artículo 5.1.f) RGPD), así como no haber adoptado las medidas de seguridad necesarias para garantizar la protección de datos de carácter personal de sus clientes (artículo 32 RGPD), al no utilizar la modalidad de copia oculta del correo electrónico.
Multa por dos conceptos
La primera multa, por la infracción del artículo 5.1.f) RGPD, se cuantifica (tras la graduación de la sanción) en 6.000€.
La segunda, por infracción del artículo 32 RGPD, es de 3.000 €.
Hacen un total de 9.000 €.
No está mal una multa de 9.000€ por una acción que se podría haber evitado sólo pegando el listado en el campo CCO del editor de correo. Además, la empresa, de forma inusitada, no contestó al requerimiento de la AEPD ni presentó ninguna alegación (de las comunicaciones con la AEPD hablaremos otro día).
Apuntes
Pero más allá del hecho puntual, doloroso pero asumible, está el bien jurídico que quiere protegerse que no es otro que la privacidad de los datos personales. Y aquí sí debemos prestar atención. Se trata de realizar un tratamiento escrupuloso de los datos personales que nos encomiendan. Aplicar los principios del RGPD como la transparencia, minimización, integridad, confidencialidad y demás, y, sobre todo, el de la lealtad con el interesado.
Como siempre, ¡cuidados!