El 29 de octubre, la Comisión Nacional de los Mercados y la Competencia (CNMC) protagonizó un incidente que ha generado una amplia polémica en torno a la protección de datos personales y la responsabilidad institucional. El error, aparentemente simple, consistió en enviar un correo electrónico a 378 influencers españoles, conocidos oficialmente como Usuarios de Especial Relevancia (UER), sin utilizar la copia oculta (CCO), exponiendo así las direcciones de correo electrónico de todos los destinatarios.
Entre los afectados se encontraban figuras públicas como Risto Mejide o Ibai Llanos, quienes rápidamente dieron visibilidad al suceso en redes sociales. Más allá del revuelo mediático, el incidente plantea serias implicaciones legales y éticas sobre la privacidad y el cumplimiento del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
La importancia de la privacidad de los datos
Según el artículo 32 del RGPD, los responsables del tratamiento deben garantizar la seguridad de los datos personales mediante medidas técnicas y organizativas adecuadas. Enviar un correo masivo con copia visible a todos los destinatarios es, sin duda, una vulneración de este principio, ya que permite la divulgación no autorizada de información personal. Aunque el error haya sido humano, el RGPD deja claro que las organizaciones—sean públicas o privadas—deben adoptar procedimientos que minimicen el riesgo de estos fallos.
Este caso pone de manifiesto que los organismos públicos están sujetos a las mismas obligaciones que las empresas privadas. La CNMC, como autoridad administrativa independiente, actúa como responsable del tratamiento de los datos de los influencers inscritos en su registro. Por tanto, tiene la obligación de proteger esos datos, garantizar su confidencialidad y aplicar protocolos de seguridad que eviten incidentes como este.
No se trata solo de una cuestión técnica, sino también de cultura de protección de datos. Los errores humanos—como confundir «CC» con «CCO»—pueden tener consecuencias graves si no existen controles internos o sistemas automáticos que detecten este tipo de riesgos antes de que ocurra el envío.
Además, el incidente podría dar lugar a una investigación por parte de la Agencia Española de Protección de Datos (AEPD), que ya ha sancionado casos similares en los que se difundieron direcciones de correo electrónico sin consentimiento.
Conclusión
Este suceso debe servir como recordatorio y advertencia: la protección de datos no es una formalidad, sino una responsabilidad compartida. Tanto las empresas como las instituciones públicas deben revisar sus procedimientos internos, formar a su personal y adoptar medidas tecnológicas que eviten que un simple clic acabe comprometiendo la privacidad de cientos de personas.
Porque, en materia de datos personales, un pequeño error humano puede convertirse en un gran fallo institucional.
Como siempre, cuidad los datos y ¡cuidaos!
