El 29 d’octubre, la Comissió Nacional dels Mercats i la Competència (CNMC) va protagonitzar un incident que ha generat una àmplia polèmica entorn de la protecció de dades personals i la responsabilitat institucional. L’error, aparentment simple, va consistir a enviar un correu electrònic a 378 influencers espanyols, coneguts oficialment com a Usuaris d’Especial Rellevància (UER), sense utilitzar la còpia oculta (CCO), exposant així les adreces de correu electrònic de tots els destinataris.
Entre els afectats es trobaven figures públiques com Risto Mejide o Ibai Llanos, els qui ràpidament van donar visibilitat al succés en xarxes socials. Més enllà del renou mediàtic, l’incident planteja serioses implicacions legals i ètiques sobre la privacitat i el compliment del Reglament General de Protecció de Dades (RGPD) i la Llei orgànica 3/2018, de Protecció de Dades i Garantia dels Drets Digitals (LOPDGDD).
La importància de la privacitat de les dades
Segons l’article 32 del RGPD, els responsables del tractament han de garantir la seguretat de les dades personals mitjançant mesures tècniques i organitzatives adequades. Enviar un correu massiu amb còpia visible a tots els destinataris és, sens dubte, una vulneració d’aquest principi, ja que permet la divulgació no autoritzada d’informació personal. Encara que l’error hagi estat humà, el RGPD deixa clar que les organitzacions—siguin públiques o privades—han d’adoptar procediments que minimitzin el risc d’aquestes fallades.
Aquest cas posa de manifest que els organismes públics estan subjectes a les mateixes obligacions que les empreses privades. La CNMC, com a autoritat administrativa independent, actua com a responsable del tractament de les dades dels influencers inscrits en el seu registre. Per tant, té l’obligació de protegir aquestes dades, garantir la seva confidencialitat i aplicar protocols de seguretat que evitin incidents com aquest.
No es tracta només d’una qüestió tècnica, sinó també de cultura de protecció de dades. Els errors humans—com confondre «CC» amb «CCO»—poden tenir conseqüències greus si no existeixen controls interns o sistemes automàtics que detectin aquest tipus de riscos abans que ocorri l’enviament.
A més, l’incident podria donar lloc a una investigació per part de l’Agència Espanyola de Protecció de Dades (AEPD), que ja ha sancionat casos similars en els quals es van difondre adreces de correu electrònic sense consentiment.
Conclusió
Aquest succés ha de servir com a recordatori i advertiment: la protecció de dades no és una formalitat, sinó una responsabilitat compartida. Tant les empreses com les institucions públiques han de revisar els seus procediments interns, formar al seu personal i adoptar mesures tecnològiques que evitin que un simple clic acabi comprometent la privacitat de centenars de persones.
Perquè, en matèria de dades personals, un petit error humà pot convertir-se en una gran fallada institucional.
Com sempre, cuideu les dades i cuideu-vos!
