Confundir CC y BC en un email te puede costar 10.000€.

La AEPD ha sancionado con 10.000€ a un despacho de abogados de Gerona por remitir un correo electrónico a varios destinatarios con sus direcciones en CC (y por lo tanto visibles para el resto).

Los hechos del caso son muy sencillos. EN el mes de marzo de este año el despacho dirige un correo electrónico a diferentes destinatarios, todos ellos en copia vista (CC). Uno de los receptores del correo, en abril del 2020, interpone una reclamación ante la AEPD aportando copia del citado correo electrónico.

La AEPD da traslado e la entidad reclamada que no realiza ninguna manifestación. Lo que da inicio a un procedimiento sancionador por infracción de dos preceptos del RGPD, el 5.1.f) y el 32.

El artículo 5.1.f) del RGPD se refiere a la integridad y confidencialidad de los datos. La Agencia entiende que la infracción es evidente, sin necesidad de entrar en demasiadas disquisiciones puesto que el email incorpora a la vista las direcciones de todos los destinatarios -se considera probado que el email se remite a 8 destinatarios únicamente-. Así mismo, considera que se trata de una acción negligente no intencional, pero significativa y que afecta a datos de identificación personal básicos. Por esta infracción de la confidencialidad de los datos se impone una sanción de 10.000€.

En cuanto al artículo 32 del RGPD, se refiere a la seguridad en el tratamiento, estableciendo la necesidad de aplicación de las medidas técnicas y organizativas apropiadas para el nivel de riesgo en cuestión.

La AEPD considera que se ha producido una violación de seguridad, por cuanto se ha producido una comunicación o acceso no autorizados a los datos. Nos recuerda la Agencia que el RGPD ha supuesto un cambio de perspectiva en esta materia y ya no se refiere a una lista de medidas que deben adoptarse, sino que establece que el responsable y el encargado del tratamiento aplicarán las medidas técnicas y organizativas que sean adecuadas al riesgo que suponga el tratamiento. Teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y finalidades del tratamiento, los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.

Se determina que se ha producido, por tanto, una brecha de seguridad que ha causado la comunicación no autorizada de datos.

En este punto, la Agencia es más benevolente en la aplicación de la norma (que prevé para esta infracción sanciones de hasta Diez Millones de Euros) y se limita al apercibimiento de la sancionada, requiriéndole para que proceda a adoptar las medidas necesarias para que cese la conducta objeto de esta reclamación, que ha causado la brecha de seguridad denunciada, para que se corrijan los efectos de la infracción cometida y su adecuación a las exigencias contempladas en el artículo 32 del RGPD, así como la aportación de medios acreditativos del cumplimiento de lo requerido.