Seguro que te ha pasado más de una vez, alguien te envía un correo electrónico dejando a la vista las direcciones de todos los demás destinatarios de ese correo. Se trata de una indiscreción que le puede pasar a cualquiera: incluso a una empresa proveedora de Red.es, la entidad pública empresarial cuyo objetivo es “colocar a España a la cabeza de la sociedad de la información”.
Un gesto aparentemente intrascendente puede ser sancionado con multas que pueden llegar a los 40.000 euros, si la AEPD considera que se trata de una infracción leve a la normativa de protección de datos, y hasta 300.000 euros si estima que la falta ha sido grave.
¿Ha pasado alguna vez en tu empresa? Si es así, pon todos los esfuerzos en corregir esta práctica lo antes posible y sigue leyendo estas líneas para conocer la resolución final de la Agencia.
Enviar correos electrónicos dejando a la vista todos los destinatarios es una infracción sancionable.
Las denuncias que investiga la AEPD pueden afectar a cualquiera, incluso a los proveedores de la entidad pública responsable de impulsar la sociedad en red en España. La empresa encargada de instalar el equipamiento informático en los stands de Red.es para la realización de una campaña informativa envió un e-mail a los correos personales de 127 trabajadores de una segunda empresa, que eran los responsables de la difusión de los contenidos informativos en dicho stand. En el mensaje les solicitaba las características de los equipos que usarían en el stand, a fin de realizar correctamente la instalación.
Por error, en lugar de escribir las direcciones de e-mail en el apartado “con copia oculta” (CCO), las dejó a la vista de todos los destinatarios, que pudieron ver los nombres de las cuentas de correo de los demás. Y uno de ellos decidió denunciar el hecho ante la AEPD.
Pero ¿es la dirección de correo electrónico un dato personal? En su resolución, la Agencia aclara que se trata de un dato personal cuando la dirección de correo electrónico incorpora datos relacionados con la persona titular de la cuenta o cuando, aunque no los incorpore, otros datos (como el dominio o el domicilio) permitan identificarle sin un esfuerzo desproporcionado. En ese caso, se puede considerar un dato personal sujeto a la protección de la LOPD.
La Agencia aclara que, al enviar el mensaje con las cuentas de correo visibles para todos los destinatarios, la empresa vulneró el deber de secreto (art. 10 de la LOPD), que obliga a evitar filtraciones no consentidas.
Se puede decir que la AEPD fue “benevolente”, al imponer a la empresa denunciada la sanción mínima de 600 euros. Pero si, por las características de los datos revelados, se hubieran dado a conocer aspectos como la solvencia patrimonial de los destinatarios, posibles infracciones administrativas en las que hubieran incurrido, información sobre los servicios financieros que han contratado o datos sobre la evaluación de su personalidad, entonces la Agencia podría haber considerado que era una infracción grave, con multas de hasta 300.000 euros.
Si tienes dudas acerca de la correcta implantación o gestión de la protección de datos de carácter personal en tu empresa, puedes contar con nosotros en www.ClickDatos.es
Ricardo Pérez – Consultor LOPD
