La Agencia Española de Protección de Datos ha publicado una sentencia en la que sanciona uno de los errores más graves al mandar un correo electrónico a varios destinatarios: no usar la función CCO (con copia oculta).
El organismo español que vela por nuestra privacidad considera que el comportamiento de no usar CCO en un envío a varios destinatarios es una infracción de los artículos 5 y 32 del Reglamento General de Protección de Datos.
Revelación de datos sin consentimiento
La sentencia y pena de multa de 15.000 euros es a Ilunion Seguridad. Esta surge a raíz de la denuncia de un trabajador al considerar que no había dado su consentimiento para que lo incluyesen en un grupo de WhatsApp ni para recibir correos electrónicos de carácter laboral en los que su dirección fuese pública para el resto de compañeros a los que iba destinado.
La AEPD considera adecuado el uso del grupo de WhatsApp teniendo en cuenta las circunstancias específicas del momento (en plena pandemia) y que ninguno de los participantes en el grupo mostró su ausencia de consentimiento, lo que se considera un consentimiento activo. En cambio, sí sanciona el caso de dos correos electrónicos enviados sin utilizar la opción de copia oculta, revelando la dirección de correo del reclamante al resto de destinatarios sin su consentimiento.
Por esta vulneración la AEPD considera que las medidas de seguridad de la entidad reclamada no son adecuadas a la normativa de protección de datos y señala que “existen en el mercado herramientas que disminuyen el riesgo de realizados por error envíos de correos electrónicos a varios destinatarios sin emplear la opción de copia oculta, al mantener, por defecto, a los destinatarios ocultos”. La “intencionalidad o negligencia” se tienen en cuenta como agravantes en este caso, fijando una sanción de 10.000 euros por infringir el artículo 5 y de 5.000 por vulnerar lo establecido en el 32, ambos del RGPD.
La importancia de usar CCO al enviar un email
Cuando enviamos un correo electrónico a varios destinatarios, debemos ser cautos y hacer uso de la opción CCO para evitar mostrar a unos las direcciones de correo electrónico de otros, o, en su defecto, contar con todas las autorizaciones de los destinatarios para que se conozcan las mismas.
La Agencia Española de Protección de Datos considera que no hacerlo infringe los artículos 5.1 f) («Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas de integridad y confidencialidad»).
También considera que se vulneró el artículo 32 del Reglamento General de Protección de Datos, que hace referencia a la seguridad del tratamiento de datos («Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento«).