La Agencia Española de Protección de Datos ha publicado en su página web una resolución con fecha de 4 de diciembre de 2012 por la cual impone a una entidad una sanción de 2.000 € por considerarla responsable de haber infringido el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), relativo al deber de secreto de los datos personales. La conducta sancionada consiste en haber remitido a la denunciante un correo electrónico en el que figuraban visibles las direcciones de los destinatarios del mismo, unos mil clientes de la entidad en total. La entidad denunciada reconoció la efectiva remisión del correo electrónico, así como que no había ocultado las direcciones de los destinatarios, admitiendo su responsabilidad.
Las principales ideas que se extraen de la lectura de la resolución de la AEPD son las siguientes:
– En primer lugar, que cuando la dirección de correo electrónico identifica o permite identificar a su titular sin grandes esfuerzos recibe la consideración de dato de carácter personal, amparado por el régimen de la LOPD.
– En segundo lugar, que en tal supuesto, es necesario, con carácter general, haber obtenido el consentimiento del titular de la dirección de correo para su utilización.
– En tercer lugar, que es exigible igualmente el deber de secreto conforme a lo que dispone el artículo 10 LOPD, cuya finalidad es evitar filtraciones de los datos no consentidos por sus titulares.
– En cuarto lugar, y como consecuencia del anterior, que siempre que al remitente le sea exigible este deber de secreto, se debe recurrir a la modalidad de envío que ofrecen los programas disponibles en el mercado, que consiste en introducir las direcciones de correo electrónico de los destinatarios en un campo específico del encabezamiento del correo conocido como CCO (copia oculta). En caso contrario, el remitente incurre en una vulneración de este deber de secreto impuesto por el artículo 10 LOPD.
– En quinto lugar, que la vulneración del deber de secreto constituye una infracción GRAVE conforme al artículo 44.3.d) LOPD, sancionable con una multa de 40.001 a 300.000 €.
– En sexto lugar, que a pesar del punto anterior, la AGPD impone una sanción de únicamente 2.000 € sobre la base de la posibilidad que le otorga la ley de aplicar la escala de la clase de infracciones inmediatamente inferior (en este caso infracciones leves, sancionables con una multa de 900 a 40.000 €) por considerar que concurre el supuesto legalmente previsto en el apartado d) del artículo 45.5 LOPD, que consiste en que el infractor haya reconocido espontáneamente su culpabilidad.
– En séptimo lugar, que la cantidad de 2.000 € con que la entidad es sancionada se ha fijado tomando en consideración la obtención lícita de los datos de correo electrónico de la denunciante, el número de destinatarios del correo (más de mil), así como el tipo de información a la que el correo hacía referencia (información sobre una actividad pública en la entidad).
Francesc Segura.
Abogado fundador de DMS Consulting.