Índice
Enviar emails sin usar copia oculta y visibilizando las direcciones de correo de todos los destinatarios vulnera la protección de datos
Diariamente, miles de empresas envían emails dirigidos a múltiples destinatarios. ¿Implica esto que todos los receptores de un correo pueden ver a qué otras personas o empresas se les envío? Si se emplea la copia oculta, no. Hoy en día, todos los gestores de correo permiten meter direcciones en copia oculta para no revelar todas las direcciones de email que van a recibir un correo. Pero, ¿qué pasa si se procede a enviar emails sin usar copia oculta? Se está vulnerando la normativa de protección de datos.
Así lo ha establecido la Agencia Española de Protección de Datos que ha impuesto una multa de 3.000 euros a una empresa de marketing que envió un email a 349 colaboradores, en su mayoría freelance con los que lleva a cabo trabajos. ¿Dónde surgió el problema? Que al enviar emails sin usar copia oculta todos los receptores tuvieron acceso a las direcciones de los demás. Para más inri, la mayoría de dichas direcciones estaban compuestas por el nombre y el apellido de sus destinatarios, así que se reveló su identidad.
Pues bien, enviar emails sin usar copia oculta aunque sea por accidente supone una vulneración de la normativa de protección de datos.
A continuación, vamos a desgranar cómo se infringe el Reglamento General de Protección de Datos (RGPD) al enviar emails sin usar copia oculta a una pluralidad de receptores, cuáles son las consecuencias de este incumplimiento y de qué manera se puede evitar cometerlo.
Enviar emails sin usar copia oculta a múltiples destinatarios infringe dos artículos del RGPD
A mediados de 2023, la AEPD recibió la reclamación de una profesional contra Clidea Desarrollo, una agencia de marketing madrileña. En la reclamación se alegaba, como venimos de señalar, que esta pyme había infringido la normativa de protección de datos tras enviar emails sin usar copia oculta a casi 350 receptores.
En concreto, la AEPD ha estimado que esta práctica infringió dos artículos del RGPD:
- Al enviar emails sin copia oculta a varios centenares de destinatarios no se cumplió con uno de los principios del tratamiento de los datos. Concretamente, no se garantizó una seguridad adecuada de los datos personales (artículo 5.1.f.). Es más, según la AEPD, la empresa debería haber protegido la confidencialidad de los datos y haber evitado que todos los destinatarios conociesen la dirección de email y el nombre del resto.
- La empresa no garantizó la seguridad del tratamiento mediante medidas técnicas y organizativas apropiadas (artículo 32). En este caso concreto, enviar emails sin usar copia oculta es una medida inadecuada para garantizar la confidencialidad de los datos.
En el caso de Clidea Desarrollo, la AEPD impuso dos sanciones por la vulneración de estos artículos del RGPD:
- 2.000 euros por infringir el artículo 5.1.f).
- 1.000 euros por no adecuar el tratamiento de datos a los requisitos del artículo 32.
Como la empresa sancionada procedió a aceptar la multa y pagarla de manera voluntaria, la sanción original de 3.000 euros quedó reducida a 1.800 euros.
Sanciones millonarias por infringir el RGPD
¿En todos los casos enviar emails sin usar copia oculta a múltiples destinatarios llevará consigo una multa de 3.000 euros? No. El RGPD regula las multas administrativas por incumplir su articulado estableciendo:
- Los criterios que deben tener en cuenta las autoridades competentes, como la AEPD en el caso de España, para dictar multas que resulten proporcionales, efectivas y disuasorias. Así, se deben tener en cuenta cuestiones como la gravedad del incumplimiento, la intencionalidad o la negligencia de la empresa que lo llevó a cabo, las medidas puestas en marcha para subsanar la situación o el tipo de datos afectados. En este sentido, debemos tener en cuenta que revelar direcciones de email no es, ni mucho menos, tan grave como filtrar DNI, direcciones de residencia o datos financieros.
- Topes máximos a las sanciones. En el caso de enviar emails sin usar copia oculta, se estaría infringiendo, como ya señalamos, dos artículos distintos cuyo incumplimiento se castiga con sanciones máximas diferentes:
- Infringir el artículo 5 puede conllevar multas máximas de 20 millones de euros o del 4% del volumen de negocio mundial de la empresa incumplidora.
- No cumplir el artículo 32 puede traducirse en sanciones económicas de hasta 10 millones de euros o el 2% del volumen de negocio anual de la compañía a nivel mundial.
Habida cuenta de lo que venimos de señalar, resulta fácil entender que la AEPD sancionara con 3.000 euros a la empresa de marketing por enviar emails sin usar copia oculta. Puesto que el incumplimiento no se alargó en el tiempo, los datos revelados no eran especialmente sensibles y el número de afectados fue reducido.
Por contra, si una empresa procede a enviar emails sin usar copia oculta de manera habitual y exfiltra las direcciones de correo de miles de personas, la cuantía de la sanción será mucho más elevada.
¿Cómo evitar enviar emails sin usar copia oculta?
El caso analizado por la AEPD evidencia que enviar emails sin usar copia oculta puede conllevar sanciones económicas y mermar la confianza de clientes, trabajadores o proveedores en un negocio. Por ello, es fundamental evitar enviar emails sin usar copia oculta y garantizar la confidencialidad de las direcciones de correo electrónico de los destinatarios de las comunicaciones empresariales. ¿Qué puede hacer un negocio para no cometer esta acción?
- Revisar los destinatarios de un email antes de darle al botón de enviar. Es el consejo más rudimentario que podemos darte… y también el menos seguro, porque todos cometemos despistes. Antes de enviar un email masivo, comprueba que has metido todas las direcciones en copia oculta.
- Usar plataformas de email marketing. Hay múltiples aplicaciones que permiten crear campañas y enviar el mismo correo electrónico a miles de direcciones de email. Estas aplicaciones están adaptadas al RGPD, dotando de seguridad jurídica al envío de comunicaciones masivas.
- Disponer de un software de gestión con gestor de correo que permita enviar emails masivos de una manera ágil y segura. Los mejores programas de gestión del mercado cuentan con funcionalidades que sirven para:
- Crear campañas comerciales de email.
- Programar el envío de emails en bloque a múltiples receptores.
- Automatizar el envío de emails con cuestiones como recordatorios de citas o envío de facturas.
- Asociar los emails enviados y recibidos a cada ficha de cliente, trabajador, proveedor u otra clase de contacto.
- Asegurarse de que el contacto ha aceptado la política de tratamiento de datos y que, por ejemplo, consiente el envío de comunicaciones comerciales. ¿Cómo? Gracias a que se puede establecer un apartado en su ficha en la base de datos.
- Comunicarse de manera fluida con los clientes sin consumir una gran cantidad de tiempo y cumpliendo con el RGPD y la LOPD.
En definitiva, basta con echar un ojo a las mayores multas por protección de datos en España en 2024 para constatar que las sanciones pueden llegar a ser elevadas y dañar las finanzas de las empresas que las reciben. Además, no podemos perder de vista los daños reputacionales asociados a una filtración de datos personales. La relación con clientes, trabajadores, proveedores o socios comerciales puede verse dañada de manera irreparable.