Es bastante habitual enviar un mismo mensaje a multitud de contactos, especialmente con motivo de estas fechas, sin embargo, cuando esto lo hagamos mediante correo electrónico, debemos de tener especial cuidado en no desvelar los correos electrónicos entre los destinatarios. El motivo es que es muy frecuente que la dirección de correo electrónico contenga el nombre de la persona o incluso apellidos, los cuales, pueden ser considerados datos de carácter personal.
Por este hecho, la Agencia Española de Protección de Datos, AEPD, ha sancionado con una multa de 3.500 euros a una inmobiliaria que envió un mismo correo electrónico a varias personas, figurando en el apartado de destinatarios, todos los correos electrónicos de los mismos. Es decir, todos los destinatarios podían ver las direcciones de correo electrónico del resto.
Como consecuencia de ello, una destinataria y clienta de la inmobiliaria que había solicitado información a la misma sobre una urbanización anunciada por la referida inmobiliaria, presentó una reclamación ante la AEPD, puesto que a mayores de que varios desconocidos conocieran ahora su dirección de correo electrónico, en el cuerpo del mensaje figuraba su nombre e información sobre sus intereses en la referida propiedad.
Siguiendo con el procedimiento administrativo en materia de protección de datos, la AEPD inicia la instrucción del mismo, en primer lugar, valora la admisión o inadmisión a trámite de la reclamación, estudiando si existen indicios de haber vulnerado la normativa en la materia. Una vez, admitida a trámite, le da traslado de la misma a la empresa reclamada, a efectos de que realice alegaciones al respecto. En este caso, la inmobiliaria ni tan si quiera efectuó las mismas, por lo que, directamente la AEPD pasa a resolver la reclamación.
Los hechos analizados, ha vulnerado, en primer lugar, el artículo 5.1. f) del Reglamento General de Protección de Datos, RGPD, referido al principio de integridad y confidencialidad. Siendo sancionada esta infracción con 2.000 euros.
Una medida apropiada, por ejemplo, podría ser haber enviado el correo con los destinatarios a en copia oculta (lo cual se muestra como CCO en la mayoría de correos electrónicos), consiguiendo con ello, la misma finalidad de enviar el correo de una vez a todos, pero que entre los destinatarios no puedan ver las direcciones de correo de los otros destinatarios.
En segundo lugar, también se ha vulnerado el artículo 32 del RGPD, relativo a las medidas de seguridad oportunas. Siendo sancionada esta infracción con 1.500 euros.
Otra medida que podría evitar estas sanciones es la opción que permiten la mayoría de correos electrónicos (Gmail, Outlook,…) e incluso algún aplicación de mensajería instantánea como Telegram, como es enviar los correos electrónicos con contraseña o con fecha de caducidad, mostrándose esta opción con el símbolo de un candado con un reloj. Puede resultar útil para enviar correos que contengan datos especialmente sensibles o confidenciales. La primera opción obliga al destinatario a introducir una contraseña (con lo que evitaríamos que si le llega el correo por error a otro destinatario que no es el adecuado no pudiera acceder al contenido al desconocer la contraseña) y, la segunda opción, nos permitiría reducir el riesgo de exposición de ciertos documentos o información, puesto que si el destinatario no descarga el contenido, el mismo se borrará en la caducidad que hayamos especificado, un día, una semana, un mes, tres meses o cinco años.
