La Agencia Española de Protección de Datos (AEPD) ha multado con 3.500 euros a una inmobiliaria por enviar correos electrónicos sin anonimizar los destinatarios a diversas personas. Ha vulnerado dos artículos del Reglamento General de Protección de Datos (RGPD), en concreto, el 5.1.f) y el 32.
La multa es consecuencia de una reclamación interpuesta por una clienta que solicitó información sobre una parcela de una urbanización porque la empresa era la encargada de gestionar y anunciar su venta.
En la respuesta se incluyó el correo de varias personas al no haber empleado la copia oculta, por lo que todos los emails quedaron visibles. Es decir, no utilizó la funcionalidad CCO que está presente en una esquina cuando se escribe un correo electrónico, lo que posibilitó que todos los destinatarios tuvieran acceso a la dirección de correo de los demás.
La usuaria que reclamó manifestó que no le parecía “ni lógico ni normal” que su dirección de correo la tuviesen personas que no conocía y que, además, pudiesen averiguar sus intereses personales sobre que vivienda le gustaba porque la dirección de email recogía su nombre real.
La AEPD puso en conocimiento de la empresa la reclamación para que en el plazo de un mes pudiese dar las explicaciones pertinentes, pero no obtuvo respuesta.
Pero tras las investigaciones llevadas a cabo por la AEPD, se determinó que se habían vulnerado dos artículos. El primero, el 5.1f), que hace referencia a la falta de confidencialidad en el tratamiento de los datos personales. Y por esta infracción le ha multado con 2.000 euros.
Falta de confidencialidad y de seguridad en el tratamiento de datos personales
En concreto, dicho apartado del artículo manifiesta que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”.
Por otro lado, el segundo artículo que infringe es el 32 del citado reglamento, el cual se refiere a la falta de seguridad en el tratamiento de los datos personales, que le ha supuesto una multa de 1.500 euros.
En él se explica que el encargado del tratamiento debe aplicar las medidas necesarias para asegurar la seudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes de los sistemas y servicios de tratamiento o la capacidad de restaurar el caso de incidente físico o técnico.
Según la resolución, en el caso que nos ocupa, el reclamado, al remitir un correo electrónico sin utilizar la opción de copia oculta está incumpliendo su obligación de aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en el tratamiento de los datos personales recogido en el artículo 32 RGPD.
