Multa por violación de datos en correos electrónicos masivos: un análisis de las consecuencias legales
Protección de datos y la responsabilidad empresarial
Una reciente sanción de 3.000 euros impuesta por la Agencia Española de Protección de Datos a la empresa Clidea Desarrollo recuerda las obligaciones al que se someten las empresas en materia de protección de datos. La sanción fue el resultado de un fallo simple pero crítico: el envío de un correo masivo sin emplear la función de copia oculta (CCO), lo que permitió que las direcciones de 349 destinatarios fueran visibles entre sí, muchas de ellas con nombres y apellidos.
Las empresas tienen la responsabilidad de proteger la confidencialidad y seguridad de los datos personales que tratan, y el incumplimiento de estas obligaciones puede conllevar sanciones económicas significativas.
El artículo 5.1.f) del RGPD
El artículo 5.1.f) del RGPD establece que los datos personales deben ser tratados de manera que se garantice su integridad y confidencialidad. Esto implica que las empresas deben adoptar medidas técnicas y organizativas apropiadas para prevenir accesos no autorizados o divulgaciones accidentales de la información personal.
En el caso de Clidea Desarrollo, la falta de uso de la función de copia oculta vulneró este artículo, al exponer la información personal de los destinatarios del correo electrónico a otras personas sin su consentimiento.
Medidas de seguridad según el artículo 32 del RGPD
El artículo 32 del RGPD establece que el responsable del tratamiento de datos debe implementar medidas de seguridad proporcionales al riesgo. En este caso, una medida simple como el uso de la copia oculta en correos masivos habría sido suficiente para evitar la exposición de datos. La función CCO, disponible en la mayoría de los programas de correo electrónico, es una herramienta clave para garantizar que los destinatarios no puedan ver la información de contacto de otros.
El incumplimiento de esta medida básica llevó a la AEPD a concluir que Clidea Desarrollo no adoptó las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales. La sanción impuesta refleja la gravedad de esta omisión, y es un recordatorio para las empresas de que incluso errores simples pueden derivar en consecuencias legales si no se toman las precauciones adecuadas.
Proceso sancionador y responsabilidades legales
El procedimiento sancionador comenzó en mayo de 2023, tras la reclamación de uno de los afectados. La AEPD solicitó a la empresa que proporcionara información sobre las medidas correctivas adoptadas, pero Clidea Desarrollo no respondió a tiempo, lo que llevó a la apertura del proceso formal.
Finalmente, la AEPD resolvió imponer una multa de 3.000 euros, desglosada en 2.000 euros por la infracción del principio de confidencialidad recogido en el artículo 5.1.f), y 1.000 euros por no adoptar las medidas de seguridad necesarias según el artículo 32 del RGPD.