Un simple email, una gran infracción: lecciones de una caso de proteccion de datos.
Contexto del Caso y Hechos Probados
La infracción se origina a raíz de una reclamación contra la entidad UNIÓN ATLÉTICA SAN FERNANDO, tras el envío de correos electrónicos masivos a sus socios. En lugar de utilizar la función de «Copia Oculta» (Cco), la organización incluyó las direcciones de todos los destinatarios en el apartado «Para», permitiendo que cada receptor pudiera visualizar los datos de los demás.
Los hechos probados confirman que se realizaron al menos dos envíos:
- El 30 de agosto de 2024, un correo dirigido a doce destinatarios.
- El 9 de septiembre de 2024, otro correo dirigido a veinte personas (incluyendo a las doce del envío anterior).
Como consecuencia directa, se revelaron datos personales como el nombre, los apellidos y la dirección de correo electrónico de los socios a terceros no autorizados (el resto de los destinatarios).
Definición Legal de la Infracción
El Reglamento General de Protección de Datos (RGPD) y la normativa española (LOPDGDD) señalan que:
- Dato Personal: Se considera «dato personal» toda información sobre una persona física identificada o identificable. En este caso, el nombre, los apellidos y la dirección de correo electrónico son identificadores que permiten determinar la identidad del interesado.
- Tratamiento de Datos: El acto de difundir estos datos a través de comunicaciones electrónicas se clasifica como un «tratamiento», que abarca operaciones como la comunicación por transmisión o difusión.
- Responsable del Tratamiento: La entidad que envía los correos es responsable de garantizar que dicho tratamiento sea conforme a la ley y de aplicar las medidas técnicas y organizativas adecuadas para proteger la privacidad.
Vulneración del Principio de Confidencialidad
El incumplimiento principal radica en la violación del Artículo 5.1.f) del RGPD, que establece el principio de integridad y confidencialidad. Según este principio, los datos deben ser tratados de manera que se garantice una seguridad adecuada, incluyendo la protección contra el tratamiento no autorizado o ilícito.
La AEPD sostiene que el uso de la funcionalidad «Para» en lugar de «Cco» en comunicaciones masivas implica que no se preservó una seguridad y confidencialidad adecuadas. El responsable tiene la obligación de evitar accesos no autorizados o la divulgación de datos a terceros, lo cual incluye implementar medidas técnicas apropiadas, como el uso de herramientas que oculten la identidad de los destinatarios en envíos grupales.
Calificación y Gravedad de la Infracción
Bajo el marco jurídico actual, este tipo de falta se considera muy grave:
- Tipificación: El quebrantamiento del artículo 5.1.f) está tipificado como infracción administrativa en el artículo 83.5 del RGPD.
- Calificación: La LOPDGDD, en su artículo 72.1.a), califica como «muy graves» las infracciones que supongan una vulneración sustancial de los principios mencionados en el RGPD, como es el tratamiento de datos vulnerando la confidencialidad.
- Prescripción: Debido a su naturaleza «muy grave», estas infracciones prescriben a los tres años.
Resolución y Medidas Correctivas
En el caso analizado, la Agencia resolvió lo siguiente:
- Apercibimiento: Se dirigió un apercibimiento a la entidad por la infracción cometida. Este es un poder correctivo que permite a la autoridad de control advertir formalmente al responsable sobre su incumplimiento.
- Orden de Adopción de Medidas: Se requiere a la entidad para que, en un plazo máximo de dos meses, adecue sus procedimientos de envío de correos electrónicos masivos a fin de cumplir con la normativa de seguridad y confidencialidad.
- Responsabilidad Proactiva: Corresponde al responsable del tratamiento decidir qué mecanismos concretos implementar (basándose en un enfoque de riesgos) para garantizar que los datos no vuelvan a ser expuestos.
El incumplimiento de las medidas correctivas impuestas por la Agencia tras un apercibimiento puede dar lugar a la apertura de un nuevo procedimiento sancionador más severo.