La Agencia Española de Protección de Datos ha publicado una sentencia en la que sanciona uno de los errores más graves al mandar un correo electrónico a varios destinatarios: no usar la función CCO (con copia oculta).
El organismo español que vela por nuestra privacidad considera que el comportamiento de no usar CCO en un envío a varios destinatarios es una infracción de los artículos 5 y 32 del Reglamento General de Protección de Datos.
Revelación de datos sin consentimiento
La sentencia y pena de multa de 15.000 euros es a Ilunion Seguridad. Esta surge a raíz de la denuncia de un trabajador al considerar que no había dado su consentimiento para que lo incluyesen en un grupo de WhatsApp ni para recibir correos electrónicos de carácter laboral en los que su dirección fuese pública para el resto de compañeros a los que iba destinado.
error envíos de correos electrónicos a varios destinatarios sin emplear la opción de copia oculta, al mantener, por defecto, a los destinatarios ocultos”. La “intencionalidad o negligencia” se tienen en cuenta como agravantes en este caso, fijando una sanción de 10.000 euros por infringir el artículo 5 y de 5.000 por vulnerar lo establecido en el 32, ambos del RGPD.
La importancia de usar CCO al enviar un email
Cuando enviamos un correo electrónico a varios destinatarios, debemos ser cautos y hacer uso de la opción CCO para evitar mostrar a unos las direcciones de correo electrónico de otros, o, en su defecto, contar con todas las autorizaciones de los destinatarios para que se conozcan las mismas.

La Agencia Española de Protección de Datos considera que no hacerlo infringe los artículos 5.1 f) («Los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas de integridad y confidencialidad»).
También considera que se vulneró el artículo 32 del Reglamento General de Protección de Datos, que hace referencia a la seguridad del tratamiento de datos («Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento«).