La Agencia Española de Protección de Datos ha publicado en su página web una resolución de fecha 4 de diciembre de 2012 por la que impone a una entidad una sanción de 2000 €, por considerarla responsable de haber infringido el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), relativo al deber de secreto de los datos personales. La conducta sancionada consiste en haber remitido a la denunciante un correo electrónico en que figuraban visibles las direcciones de los destinatarios del mismo, unos 1000 en total, clientes de la entidad. La entidad denunciada reconoció la efectiva remisión del correo electrónico y que por error no había ocultado las direcciones de los destinatarios, admitiendo su responsabilidad.
Las principales ideas que se extraen de la lectura de la resolución de la AEPD son las siguientes:
-En primer lugar, que cuando la dirección de correo electrónico identifica o permite identificar a su titular sin grandes esfuerzos, tiene la consideración de dato de carácter personal, amparado por el régimen de la LOPD.
-En segundo lugar, que en tal supuesto es preciso con carácter general haber obtenido el consentimiento del titular de la dirección de correo para su utilización.
-En tercer lugar, que es exigible igualmente el deber de secreto conforme a lo que dispone el artículo 10 LOPD, cuya finalidad es evitar filtraciones de los datos no consentidas por los titulares de los mismos.
-En cuarto lugar, y como consecuencia de lo anterior, que siempre que al remitente le sea exigible ese deber de secreto, debe recurrirse a la modalidad de envío que ofrecen los programas existentes en el mercado, consistente en introducir las direcciones electrónicas de los destinatarios en un campo específico del encabezado del correo conocido como CCO (copia oculta). En caso contrario, el remitente incurre en una vulneración de ese deber de secreto impuesto por el artículo 10 LOPD.
-En quinto lugar, que la vulneración del deber de secreto constituye una infracción GRAVE conforme al artículo 44.3.d) LOPD, sancionable con multa de 40.001 a 300.000 €.
-En sexto lugar, que no obstante lo anterior, la AGPD impone una sanción de únicamente 2000 € en base a la posibilidad que le otorga la ley de aplicar la escala de la clase de infracciones inmediatamente inferior (en este caso infracciones leves, sancionables con multa de 900 a 40.000 €) por considerar que concurre el supuesto legalmente previsto para ello en el apartado d) del artículo 45.5 LOPD, consistente en que el infractor haya reconocido espontáneamente su culpabilidad.
-En séptimo lugar, que la cantidad de 2000 € con que es sancionada la entidad, es fijada tomando en consideración la obtención licita de los datos de correo electrónico del denunciado, el número de destinatarios del correo electrónico (más de mil), así como el tipo de información a la que hacía referencia el correo (información sobre una actividad pública de la entidad).
Francesc Segura
mail: fsegura@consultingdms.com
twiter: @francescsefus
Deja un comentario