En el mundo digital actual, el uso de datos personales es una realidad cotidiana para muchas empresas. Sin embargo, la gestión inadecuada de estos datos puede llevar a graves consecuencias legales. Este es el caso de una empresa que ha sido multada con 3.000 euros por no utilizar la función de copia oculta (CCO) en un correo electrónico masivo, revelando las direcciones de casi 350 destinatarios. Esta sanción, impuesta por la Agencia Española de Protección de Datos (AEPD), pone de manifiesto la importancia de respetar el Reglamento General de Protección de Datos (RGPD) y adoptar medidas técnicas adecuadas para ev.
En mayo de 2023, la empresa Clidea Desarrollo envió un correo electrónico a 349 destinatarios, en su mayoría profesionales freelance que colaboraban con la empresa. Sin embargo, el mensaje fue enviado sin utilizar la funcionalidad de copia oculta (CCO), lo que permitió que todos los destinatarios pudieran ver las direcciones de correo electrónico de los demás, muchas de las cuales incluían los nombres y apellidos de los afectados.
Una de las personas afectadas decidió presentar una reclamación ante la AEPD, aportando pruebas en forma de capturas de pantalla del correo electrónico en cuestión y de un mensaje posterior de la empresa, donde esta se disculpaba por el error. La AEPD abrió una investigación y constató que la empresa no había adoptado las medidas adecuadas para proteger los datos personales de sus trabajadores y colaboradores, vulnerando así varios artículos del RGPD.
La Agencia Española de Protección de Datos concluyó que Clidea Desarrollo había incumplido dos artículos clave del RGPD: el artículo 5.1.f) y el artículo 32.
Artículo 5.1.f): Principio de confidencialidad: El artículo 5.1.f) del RGPD establece que los responsables del tratamiento de datos personales deben garantizar que estos se tratan de manera confidencial. En otras palabras, los datos personales deben ser protegidos contra accesos no autorizados o ilícitos. El uso incorrecto de la copia oculta en el correo electrónico constituye
El RGPD protege los datos personales no solo frente a amenazas externas, sino también frente a posibles filtraciones dentro de la misma red de contactos de la empresa. En este caso, Clidea Desarrollo no tomó las precauciones necesarias para salvar los datos personales de sus colaboradores.
Artículo 32: Medidas de seguridad del tratamiento de datos: El artículo 32 del RGPD requiere que los responsables del tratamiento de datos implementen las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales. Estas medidas deben ser proporcionales al riesgo que lleven el tratamiento de los datos.
En el caso de Clidea Desarrollo, la falta de uso de la copia oculta en un correo masivo representó una clara falta de medidas de seguridad organizativas. El riesgo de exponer datos personales a un amplio grupo de personas sin la adecuada protección no fue evaluado ni gestionado correctamente, lo que se desembocó en la infracción sancionada.
La AEPD decidió imponer una sanción de 2.000 euros por el incumplimiento del artículo 5.1.f) y una sanción adicional de 1.000 euros por la infracción del artículo 32, sumando un total de 3.000 euros de multa.
Este caso es un recordatorio crucial para las empresas de la importancia de proteger los datos personales en el entorno digital. Aunque puede parecer un error menor, el hecho de no utilizar la copia oculta en un correo masivo puede tener consecuencias graves para la privacidad de los individuos afectados y para la reputación de la empresa. Además, este tipo de incidentes refleja una falta de diligencia en la adopción de medidas de seguridad básicas.
La confidencialidad es uno de los principios fundamentales en el tratamiento de datos personales según el RGPD, y su incumplimiento puede acarrear sanciones significativas. Para las empresas, el costo de implementar medidas de seguridad adecuadas es ínfimo en comparación con las sanciones legales, sin mencionar el daño a la reputación que puede derivar de una infracción de privacidad.
En consecuencia, se admitió a trámite la reclamación y la directora de la AEPD, Mar España, acordó iniciar procedimiento sancionar contra la empresa por un tratamiento de datos personales por parte de la empresa en su actividad de negocio.
La Agencia Española de Protección de Datos finalizó dicho procedimiento con una resolución en la que se acordaba que los hechos conocidos eran constitutivos de una infracción por el incumplimiento de los establecido en los artículos 5.1. f) y 32 del Reglamento General de Protección de Datos (RGPD).
Respecto al artículo 5.1. f) del citado Reglamento, el mismo atribuye a la Clinea Desarrollo, como responsable del tratamiento de datos personales, la obligación de impedir tratamientos no autorizados o ilícitos de estos datos, su pérdida o destrucción. Y, por ende, el responsable de tratamiento está obligado a tratar los datos personales de tal modo que garantice su confidencialidad mediante la aplicación de medidas técnicas u organizativas apropiadas.
En el presente caso, la empresa vulneró el citado precepto legal al haberse producido una falta de confidencialidad en el tratamiento de los datos de carácter personal, consecuencia de remitir un correo electrónico con las direcciones de los destinatarios visibles para todos ellos. El principio de confidencialidad tiene como finalidad evitar que se realicen filtraciones de los datos personales no consentidas por los titulares de estos.
En cuanto al artículo 32 del RGPD, que regula la seguridad del tratamiento de los datos, dicho precepto establece que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos que sean adecuadas al riesgo que conlleve el tratamiento. Asimismo, las medidas de seguridad deben resultar adecuadas y proporcionadas al riesgo detectado.
En el presente caso, la AEPD ha concluido que “Clinea Desarrollo no utilizó el procedimiento de envío de los correos electrónicos cuando van dirigidos a múltiples destinatarios, consistente en utilizar la opción que ofrece la aplicación de correo electrónico a través del campo conocido como «copia oculta» (CCO), permitiendo que cada uno de los receptores tenga a la vista el resto de las direcciones de envío; y, por tanto, vulnerando la normativa vigente en materia de protección de datos”.
En consecuencia, dado que la empresa no dispuso de las medidas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los sistemas y servicios de tratamiento, la AEPD ha impuesto una multa 2.000 euros por infringir el artículo 5.1.f) del citado Reglamento y otra multa de 1.000 euros por infracción del artículo 32 del mismo texto legal.
Cómo evitar la exposición de datos en correos electrónicos masivos
Este caso ilustra un fallo técnico concreto, pero también subraya la necesidad de que las empresas revisen y refuercen sus procedimientos internos para el envío de comunicaciones masivas. Aquí hay algunas recomendaciones clave para evitar este tipo de incidentes:
- Uso de la copia oculta (CCO): La funcionalidad de copia oculta en los correos electrónicos es una medida básica de protección de la privacidad. Cuando se envían correos a múltiples destinatarios, el uso del campo CCO garantiza que las direcciones de los demás destinatarios no sean visibles. Esto evita que la información personal de los destinatarios sea compartida sin su consentimiento.
- Formación en protección de datos: Es esencial que todos los empleados que manejan datos personales reciban formación adecuada sobre el RGPD y las mejores prácticas para el envío de correos electrónicos y la gestión de datos. Esto incluye compre
- Automatización de procesos de comunicación: Utilizar herramientas automatizadas para la gestión de envíos masivos puede ayudar a evitar errores humanos. Existen plataformas diseñadas para gestionar correos electrónicos masivos de manera segura, garantizando que las direcciones de los destinatarios permanezcan ocultas cuando sea necesario.
- Políticas internas de seguridad de la información: Las empresas deben establecer políticas internas claras sobre cómo gestionar las comunicaciones que involucran datos personales. Esto incluye la creación de protocolos para el envío de correos electrónicos y el manejo de listas de contactos, así como la supervisión y el seguimiento.
- Evaluaciones periódicas de riesgo: El RGPD exige que las empresas realicen evaluaciones de riesgo para determinar la probabilidad y el impacto de incidentes de seguridad. Estas evaluaciones deben incluir el análisis de cómo se manejan las comunicaciones masivas y qué se pueden implementar medidas para minimizar los riesgos de exposición de datos personales.
La sanción impuesta a Clidea Desarrollo es un claro ejemplo de cómo un error que puede parecer trivial —como no utilizar la copia oculta en un correo electrónico— puede acarrear graves consecuencias legales y financieras para las empresas. En un entorno cada vez más digitalizado, donde los datos personales son un activo valioso, garantizar la confidencialidad y la seguridad de la información es fundamental.
Este caso también resalta la importancia de estar preparados para gestionar correctamente cualquier incidencia.
