L’Agència Espanyola de Protecció de Dades ha publicat a la seva pàgina web una resolució de data 4 de desembre de 2012 per la qual imposa a una entitat una sanció de 2000 €, per considerar-la responsable d’haver infringit l’article 10 de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD), relatiu al deure de secret de les dades personals. La conducta sancionada consisteix en haver remès a la denunciant un correu electrònic en què figuraven visibles les adreces dels destinataris del mateix, uns 1000 en total, clients de l’entitat. L’entitat denunciada va reconèixer l’efectiva remissió del correu electrònic i que per error no havia ocultat les adreces dels destinataris, admetent la seva responsabilitat.
Les principals idees que s’extreuen de la lectura de la resolució de l’AEPD són les següents:
-En primer lloc, que quan l’adreça de correu electrònic identifica o permet identificar al seu titular sense grans esforços, té la consideració de dada de caràcter personal, emparat pel règim de la LOPD.
-En segon lloc, que en tal suposat cal amb caràcter general haver obtingut el consentiment del titular de l’adreça de correu per a la seva utilització.
-En tercer lloc, que és exigible igualment el deure de secret conforme al que disposa l’article 10 LOPD, la finalitat del qual és evitar filtracions de les dades no consentides pels titulars dels mateixos.
-En quart lloc, i com a conseqüència de l’anterior, que sempre que al remitent li sigui exigible aquest deure de secret, ha de recórrer-se a la modalitat d’enviament que ofereixen els programes existents al mercat, consistent en introduir les adreces electròniques dels destinataris en un camp específic de l’encapçalat del correu conegut com CCO (còpia oculta). En cas contrari, el remitent incorre en una vulneració d’aquest deure de secret impost per l’article 10 LOPD.
-En cinquè lloc, que la vulneració del deure de secret constitueix una infracció GREU conforme a l’article 44.3.d) LOPD, sancionable amb multa de 40.001 a 300.000 €.
-En sisè lloc, que no obstant l’anterior, l’AGPD imposa una sanció d’únicament 2000 € sobre la base de la possibilitat que li atorga la llei d’aplicar l’escala de la classe d’infraccions immediatament inferior (en aquest cas infraccions lleus, sancionables amb multa de 900 a 40.000 €) per considerar que concorre el supòsit legalment previst en l’apartat d) de l’article 45.5 LOPD, consistent que l’infractor hagi reconegut espontàniament la seva culpabilitat.
-En setè lloc, que la quantitat de 2000 € amb que és sancionada l’entitat, és fixada prenent en consideració l’obtenció licita de les dades de correu electrònic del denunciat, el nombre de destinataris del correu electrònic (més de mil), així com el tipus d’informació a la qual feia referencia el correu (informació sobre una activitat pública de l’entitat).
Francesc Segura
mail: fsegura@consultingdms.com
twiter: @francescsefus
Deixa un comentari