La AEPD ha impuesto a una agencia de publicidad una sanción de 2.000 euros por infringir el artículo 5.1.f) del RGPD (principio de integridad y confidencialidad) y otra sanción de 1.000 por vulnerar el artículo 32 del mismo cuerpo normativo (seguridad del tratamiento). No obstante, ambas sanciones han sido reducidas por cuanto la compañía ha hecho uso de las dos reducciones previstas, reconociendo, en consecuencia, su responsabilidad.
Con ocasión del envío de un correo electrónico a, aproximadamente, 350 destinatarios que trabajaban como freelance para la entidad sin utilizar la funcionalidad de “copia oculta” se ha interpuesto la correspondiente reclamación por uno de los afectados. Y ello es así debido a que las direcciones de correo de todos los destinatarios (alguna de ellas incluía el nombre y apellidos de estos) han estado visibles para todos ellos.
Admitida a trámite la reclamación (y sin que conste respuesta de la entidad reclamada), la AEPD ha declarado que el uso de la dirección de correo electrónico para el envío de distinta información, sin usar la copia oculta, supone un tratamiento de sus datos personales por la compañía en su condición de responsable del tratamiento.
Respecto a la infracción del principio de confidencialidad, que pretende garantizar que se eviten filtraciones de datos no autorizadas por los titulares, afirma la autoridad de control que al remitir el correo electrónico a todos los destinatarios y estos poder visualizar dicho dato personal se ha producido una falta de confidencialidad, vulnerándose asimismo la obligación del responsable de aplicar medidas que permitan garantizar el cumplimiento de este principio rector.
Asimismo, se indica que resulta evidente que la entidad no aplicó medidas de seguridad técnicas adecuadas y proporcionadas al riesgo adoptado, puesto que “no utilizó el procedimiento de envío de los correos electrónicos cuando van dirigidos a múltiples destinatarios, consistente en utilizar la opción que ofrece la aplicación de correo electrónico a través del campo conocido como «copia oculta» (CCO)”.
La importancia de esta resolución radica en que permite mostrar que los empleados del responsable del tratamiento deben actuar en todo momento (sobre todo al enviar un correo electrónico, puesto que es una actividad que pueden realizar con una elevada asiduidad) con un comportamiento proactivo en la prevención de cualquier incidente que pudiera comprometer la seguridad de los datos, protegiendo así la información frente a posibles riesgos de acceso no autorizado.
Puede acceder a la resolución sancionadora de la autoridad de control aquí.