La Agencia Española de Protección de Datos (AEPD) acaba de sancionar a un pequeño despacho de abogados con 10.000 euros (posteriormente reducidos a 6.000 euros por reconocimiento de culpa y pago voluntario) por el envío de un e-mail sin incorporar a los distintos destinatarios en copia oculta.
La sanción, de 2 de diciembre de 2020, no es la primera en castigar este tipo de malas praxis en España, pero presenta algunos aspectos destacables, como que en una única acción denunciada (el envío del e-mail) es considerada por la AEPD como causante de dos infracciones normativas independientes.
Por un lado, se aprecia infracción de las de las medidas de seguridad del Reglamento General de Protección de Datos (RGPD), reguladas en su artículo 32, pero la AEPD opta por no sancionarla limitándose a advertir a la entidad con un apercibimiento para que adopte las medidas necesarias para que no se repita la acción infractora.
Por otro lado, la AEPD considera que no haber utilizado el envío con copia oculta también ha supuesto una infracción del principio de confidencialidad recogido en el artículo 5 del RGPD. Este aspecto es el que sí acaba provocando la mencionada sanción económica por el envío del e-mail sin copia oculta.
Esta infracción del artículo 5 del RGPD también provoca que la acción pase inmediatamente a ser considerada “muy grave”, con lo que en casos extremos podría llegar a una cuantía de sanción 20 millones de euros o el 4 % de la facturación mundial anual (la que fuera más alta) de la sociedad.
Asimismo, resulta sorprendente que el famoso único e-mail sin copia oculta fuera denunciado como enviado a “decenas destinatarios”, pero la AEPD únicamente considera probado que se enviara a ocho destinatarios.
La AEPD llega a mencionar que este envío de un e-mail a ocho destinatarios sin copia oculta sí es una brecha de seguridad. La Agencia no analiza una posible antijuridicidad en la falta de notificación a la propia AEPD de dicha brecha de seguridad. Creemos que no es casual que no haya entrado en este segundo aspecto.
El e-mail en cuestión parecía tratar sobre el “bloqueo de sus cuentas”. Ello puede explicar porque la AEPD considera como agravante de la infracción (a) que sea una “acción negligente no intencional, pero significativa” y (b) que “se encuentran afectados identificadores personales básicos (nombre, apellidos, domicilio)”.
Pese a que la empresa denunciada, y finalmente sancionada, es un despacho de abogados, no responde en el plazo de un mes dado por la AEPD cuando esta les requiere para (i) aportar información y respuesta a la reclamación, (ii) qué causas han generado la incidencia y (iii) qué medidas se han adoptado para evitar que vuelvan a producirse hechos similares.
No puede evitar plantearse que este hecho se derive de que dicho pequeño despacho de abogados no ha hecho una buena adecuación al RGPD.
Finalmente, a raíz de esta resolución sancionadora, y conociendo que aún no está suficientemente asentada la necesidad de enviar correos con copia oculta, debemos recomendar a las empresas que deben realizar periódicamente formación a su personal sobre protección de datos que incluya la importancia del uso de la “copia oculta” en el envío de e-mail; finalizar la adecuación total al RGPD; elaborar ─como es obligatorio por RGPD─ un buen registro de incidencias o brechas de seguridad, incluyendo las no notificables con descripción del incidente/brecha, sus efectos y medidas correctoras posteriores; implementar las medidas correctoras para que el cumplimiento de la empresa del RGPD sea mayor y mejor con el paso del tiempo y realizar auditorías de RGPD u otro tipo de revisiones periódicas (según el caso cada año o cada dos años) para verificar con carácter general el cumplimiento efectivo del RGPD en la empresa.
Estas medidas reducen enormemente la posibilidad de incumplimiento del RGPD como el analizado y, también, preparan herramientas para una posible defensa ante la AEPD. Huelga decir que la AEPD es una de las entidades más sancionadoras de todas las de la Unión Europea y que sus sanciones tienden a ser mucho más altas que las analizadas.
Fuente: Cinco Días