¿Se pueden enviar emails con direcciones sin copia oculta?
La AEPD manifiesta que las direcciones de correo electrónico son consideradas como datos de carácter personal. Por lo tanto, su tratamiento debe ajustarse a la normativa de protección de datos. En consecuencia, estos datos no podrán utilizarse ni cederse sin el consentimiento del interesado.
Para poder enviar o recibir mensajes es necesario disponer de una dirección de correo. Como sabemos, cada dirección de correo electrónico sólo se puede asignar una vez en todo el mundo. Por lo tanto, está disponible exclusivamente para cada usuario.
En este aspecto, el RGPD define como dato personal cualquier información sobre una persona física identificada o que se pueda identificar. Al igual que el nombre y apellido, una dirección de correo electrónico se considera a todos los efectos como un dato personal.
Informe jurídico 0437/2010
En cuanto a la consideración del correo electrónico como un dato personal la AEPD manifestó:
“La primera de las cuestiones a resolver en este caso estriba en determinar si la dirección de correo electrónico es un dato de carácter personal.
La dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en sí misma o carecer del mismo, pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta de la del titular.
Supuestos esenciales:
El primero de ellos se refiere a aquellos supuestos en que voluntaria o involuntariamente la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos como a la empresa en que trabaja o su país de residencia (aparezcan o no estos en la denominación del dominio utilizado). En este supuesto, a nuestro juicio, no existe duda de que la dirección de correo electrónico identifica, incluso de forma directa al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal.
Un segundo supuesto sería aquel en que, en principio, la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno). En este caso, un primer examen de este dato podría hacernos concluir que no nos encontramos ante un dato de carácter personal.
Sin embargo, incluso en este supuesto, la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación”.
Por todo lo expuesto, en reiteradas ocasiones la jurisprudencia ha manifestado que el envío de mensajes electrónicos debe atender también a las obligaciones recogidas sobre la protección de la privacidad garantizando la confidencialidad de los destinatarios de los mensajes.
Para ello, deberá garantizarse la utilización del campo “copia oculta”. Así, se garantizará el secreto y confidencialidad entre los destinatarios del correo electrónico sin hacer visible sus direcciones de correo electrónico.
Sanción por incumplimiento de la normativa
Un despacho de abogados es sancionado con 6.000€ por enviar un e-mail sin incorporar a los destinatarios en copia oculta.
Con fecha de 21 de abril de 2020, se presentó una reclamación ante la AEPD contra un despacho de abogados. El despacho había remitido un correo electrónico sin activar la opción de copia oculta a ocho destinatarios. En dicho mail se les informaba sobre el estado de bloqueo de sus cuentas bancarias.
Por un lado, la autoridad española estima la vulneración del artículo 32 RGPD. Sin embargo, opta por no sancionarlo limitándose a advertir a la entidad con un apercibimiento para que adopte las medidas necesarias.
Por otro lado, la AEPD considera que no haber utilizado el envío con copia oculta también supone una infracción del principio de confidencialidad. Si nos dirigimos al artículo art. 5.1 f) del RGPD, establece que los datos personales “serán tratados de tal manera que se garantice una seguridad adecuada (…), incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.
Esta infracción del artículo 5 provoca que la infracción pase a considerarse como una infracción “muy grave”. En casos extremos podría llegar a una cuantía de sanción 20 millones de euros o el 4 % de la facturación mundial anual.
Sanción a una empresa por exponer, sin consentimiento, un correo electrónico personal a terceros.
El 10 de diciembre de 2021 se presentó una reclamación ante la AEPD contra una inmobiliaria, por exponer a terceros un correo electrónico personal, sin el consentimiento necesario para ello.
Al no haberse realizado copia oculta del mismo, el correo electrónico del reclamante resultó ser visible a terceros, quedando sus datos personales desprotegidos.
La AEPD consideró vulnerados los principios de integridad y confidencialidad, además de reconocer que no se adoptaron las medidas de seguridad necesarias para así garantizar la protección de datos de carácter personal de sus clientes.
Como consecuencia de estas resoluciones sancionadoras, desde Auratech debemos recordar la necesidad de informar y formar al personal de las empresas sobre la importancia del uso de la “copia oculta” en el envío de e-mail.
Iratxe Mendizábal
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!