Cuando envíes un email a varios destinatarios, asegúrate de hacerlo con copia oculta

Es muy habitual remitir a una pluralidad de destinatarios (clientes, colaboradores o proveedores) correos electrónicos con información de interés o newletters. Lo correcto es remitir este tipo de comunicaciones mediante la opción de la aplicación de correo electrónico que utilicemos de envío con “copia oculta” (en la totalidad de proveedores de este tipo de servicio aparece bajo las siglas «CCO»), pero en algunos casos nos encontramos con que recibimos estos mensajes, mostrándose tanto la dirección de correo electrónico propia, como la del resto de destinatarios.

Cuidado, porque un desliz de esta naturaleza puede salir caro.

La Agencia Española de Protección de Datos («AEPD») ha sancionado esta conducta, en un elevado número de supuestos, únicamente con un apercibimiento, pero en otros casos se han llegado a imponer sanciones económicas.

Así, en el procedimiento sancionador PS/00406/2019, (cuya resolución se puede descargar aquí), la AEPD considera que «remitir un correo electrónico promocional sin copia oculta, enviado a decenas de destinatarios, supone la vulneración del artículo 5.1 f) del RGPD, que rige los principios de integridad y confidencialidad de los datos personales, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento».

El art. 5.1.f) RGPD establece que los datos personales serán «tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad)».

La contravención del art. 5.1.f) RGPD es considerada por la AEPD como una infracción muy grave (art. 72.1.a) LOPDGDD) y, en consecuencia, atendiendo a las circunstancias del caso, acordó imponer una sanción por importe de 2.500 €.

Similares hechos, pero concurriendo el matiz de que la entidad infractora se dedicaba a la actividad de tratamiento de datos de carácter personal, supuso que la AEPD, en el procedimiento sancionador PS/00320/2019, impusiera una sanción económica por importe de 5.000 €. A pesar de que la citada sanción fue recurrida por la entidad sancionada, su recurso fue desestimado por la AEPD.

Desde PALACÍN, HERNÁNDEZ & CRESPO Abogados quedamos a su disposición para resolverle cualquier duda o aclaración.