Las sanciones por incumplir la normativa de protección de datos están a la orden del día, y uno de los motivos frecuentes es el envío de correos electrónicos masivos sin utilizar la función de copia oculta (CCO). Esta práctica, que expone las direcciones de todos los destinatarios a los demás, vulnera la privacidad de las personas y puede acarrear importantes sanciones económicas.
Esta infracción puede suponer multas de hasta 20.000€ o, tratándose de una empresa, de una cuantía equivalente al 4% del volumen de negocio total anual del ejercicio financiero anterior, optándose por la de mayor cuantía. Afortunadamente, también existen reducciones por reconocer la responsabilidad y pagar voluntariamente la sanción propuesta.
Contenido
- 1 La importancia de la copia oculta en los correos electrónicos
- 2 Multas por infringir el RGPD: disuasorias y proporcionales
- 3 Caso reciente: multa de 3.000 euros por no usar la copia oculta
- 4 La denuncia ante la AEPD: el inicio del procedimiento
- 5 Investigación de la AEPD y fundamentos de la sanción
- 6 Factores que influyen en la cuantía de la multa
La importancia de la copia oculta en los correos electrónicos
El Reglamento General de Protección de Datos (RGPD) exige que cualquier empresa o entidad que maneje datos personales implemente medidas para garantizar la confidencialidad de esa información. Una de las formas más simples de cumplir con esta obligación en el envío de correos electrónicos a múltiples destinatarios es utilizar la opción de «copia oculta» (CCO). Esta función permite que las direcciones de correo de los destinatarios no sean visibles para los demás, protegiendo así su privacidad.
Cuando no se utiliza esta función, las direcciones de correo electrónico quedan expuestas, lo que puede facilitar el acceso no autorizado a datos personales. Este es un claro incumplimiento del artículo 5.1.f) del RGPD, que establece la obligación de garantizar la integridad y confidencialidad de los datos personales.
Multas por infringir el RGPD: disuasorias y proporcionales
El RGPD establece que las multas por incumplir sus disposiciones deben ser efectivas, proporcionales y disuasorias. Esto significa que no solo buscan castigar a las empresas que incumplen la normativa, sino también evitar que estas prácticas se repitan. Las sanciones económicas pueden variar en función de la gravedad de la infracción, el número de personas afectadas y la naturaleza de los datos expuestos.
En el caso de los correos electrónicos enviados sin copia oculta, las multas pueden llegar a los 20.000 € o al 4% del volumen anual de negocio de la empresa, dependiendo del número de destinatarios afectados o si se ha hecho de manera recurrente.
Caso reciente: multa de 3.000 euros por no usar la copia oculta
En septiembre de 2024, una empresa ha sido multada con 3.000 euros por enviar un correo masivo a unas 350 personas sin utilizar la función de copia oculta. Este error permitió que las direcciones de correo de todos los destinatarios fueran visibles para el resto, lo que vulneró la confidencialidad de sus datos personales.
Es importante señalar que muchas de estas direcciones incluían nombres y apellidos, lo que agravó la infracción. En este tipo de situaciones, cuanto más sensible sea la información expuesta, mayor será la sanción impuesta por la Agencia Española de Protección de Datos (AEPD).
La denuncia ante la AEPD: el inicio del procedimiento
Este procedimiento sancionador comenzó gracias a la denuncia presentada por uno de los destinatarios del correo. El denunciante, al ver que su dirección de correo había sido compartida con cientos de personas, decidió acudir a la Agencia Española de Protección de Datos (AEPD) y aportar pruebas. Entre estas, presentó capturas de pantalla tanto del correo original como de un mensaje posterior de disculpa enviado por la empresa.
La AEPD, tras recibir la denuncia, notificó a la empresa implicada y le otorgó un plazo para que analizara la situación y explicara las medidas adoptadas para cumplir con la normativa de protección de datos. No obstante, la empresa no presentó ninguna respuesta dentro del plazo establecido, lo que motivó la apertura de un procedimiento sancionador.
Investigación de la AEPD y fundamentos de la sanción
Tras iniciar el procedimiento, la AEPD llevó a cabo una investigación para determinar si la empresa había infringido el RGPD. Como resultado de esta investigación, se concluyó que la empresa había vulnerado dos artículos clave del reglamento:
- Artículo 5.1.f): Este artículo obliga a los responsables del tratamiento de datos a garantizar la integridad y confidencialidad de los mismos. En este caso, la empresa incumplió esta obligación al no proteger adecuadamente los datos de sus destinatarios.
- Artículo 32: Este artículo exige la implementación de medidas técnicas y organizativas para garantizar la seguridad del tratamiento de los datos personales. La AEPD consideró que la empresa no había adoptado las medidas necesarias para evitar que las direcciones de correo electrónico fueran expuestas.
El incumplimiento de estos dos artículos del RGPD llevó a la imposición de dos multas: una de 2.000 euros por la vulneración del artículo 5.1.f) y otra de 1.000 euros por la infracción del artículo 32.
Factores que influyen en la cuantía de la multa
La cantidad de la sanción impuesta no es arbitraria, sino que se determina teniendo en cuenta varios factores. Entre estos se incluyen la naturaleza de la infracción, el número de personas afectadas, la gravedad de la exposición de los datos y la cooperación (o falta de ella) de la empresa con la AEPD.
En este caso, el hecho de que se expusieran los correos electrónicos de casi 350 personas, muchos de ellos con información identificativa como nombres y apellidos, fue considerado un factor agravante. Además, la falta de respuesta por parte de la empresa en el proceso de investigación también jugó en su contra.
Este caso pone de manifiesto la importancia de que las empresas implementen medidas adecuadas para proteger los datos personales, especialmente en situaciones tan comunes como el envío de correos electrónicos masivos. Utilizar la función de «copia oculta» no es solo una buena práctica, sino una obligación legal cuyo incumplimiento puede conllevar sanciones económicas considerables.
Además, es fundamental que las empresas respondan de manera proactiva cuando son notificadas por la AEPD, ya que la falta de colaboración puede agravar las sanciones.
En resumen, la protección de los datos personales es un elemento clave para cualquier empresa que maneje información de clientes, empleados o colaboradores. Este caso nos recuerda que incluso errores aparentemente pequeños, como olvidar usar la copia oculta en un correo electrónico, pueden tener graves consecuencias legales y económicas.
La AEPD ofrece recursos y guías para ayudar a las empresas a cumplir con la normativa, y es recomendable que todas las organizaciones se mantengan informadas y actualicen sus prácticas para evitar sanciones. La privacidad de las personas es un derecho protegido legalmente, y las empresas tienen la responsabilidad de preservarla.
La resolución completa, que detalla todos los pormenores del caso y fundamenta la decisión de imponer la sanción, se encuentra disponible para su consulta y descarga en el sitio web oficial del organismo regulador (AEPD). Este documento proporciona una valiosa fuente de información para otras empresas y profesionales que deseen evitar incurrir en infracciones similares.
Si este tema te dejó con más preguntas que respuestas, estaré encantada de ayudarte. ¡No dudes en contactarme! Resolver problemas legales es mi especialidad… y evitar que lleguen a ser problemas también.