Tal y como dice el título, vamos a analizar las posibles multas por enviar un mail CCO. Cada día enviamos y recibimos decenas -e incluso cientos- de emails, tanto de tipo personal como de tipo profesional. De hecho, en ocasiones lo hacemos casi sin pensar, en apenas unos segundos, le damos a enviar y, como se suele decir, “a otra cosa”.

Una vez más, el refranero español es muy sabio “Vísteme despacio que tengo prisa”. Y, en este caso que abordamos en el presente post, se cumple al 100%. Cuando enviamos un correo electrónico a varios destinatarios tenemos que evitar las prisas y pararnos a pensar antes de enviar ¿Es necesario enviarlo con copia visible? Si la respuesta es “no es necesario”, haz uso de inmediato de la Copia oculta (CCO).

¿Siempre es obligatoria la Copia oculta?

Somos conscientes de que, en ocasiones, es necesario enviar un email a varios destinatarios porque se trata de un trabajo en común en el que todos debemos aportar nuestra visión y/o se trata de un trabajo en equipo en el que nos hemos dividido las tareas pero es necesario comentarlo entre varios porque unas tareas tienen implicaciones en las otras. Pero, en muchas otras ocasiones, no se trata de un trabajo en común que requiere que trabajemos de manera conjunta sino que se trata de una misma información que queremos enviar a varias personas a la vez y, para ahorrar el tiempo que nos supondría enviarlo uno por uno de manera diferenciada, hacemos uso del sistema de copia oculta.

Pero lo que ocurre en más de una ocasión es que, dadas las prisas con las que hacemos las cosas hoy en día, incluimos las direcciones de correo electrónico “sin pensar” en el apartado “CC” y no en el de “CCO”. Y esto, como sabemos, supone una revelación de datos personales a terceros porque la cuenta de correo electrónico es un dato personal y, por tanto, debemos limitar el uso de la copia visible para lo estrictamente necesario.

Y para evitarlo, solo hay un truco: comprueba dos o tres veces antes de enviar que has elegido la opción que necesitas: Copia visible (CC) o Copia oculta (CCO).

¿Qué problemas supone no hacer uso de copia oculta (CCO) al enviar un correo electrónico?

Y si no lo haces -y/o si no formas a todo el personal de tu entidad en un acto tan sencillo como comprobar dos o tres veces antes de enviar un correo electrónico- debes ser consciente de que estás incumplimiendo la normativa de protección de datos y que, de hecho, la Agencia Española de Protección de datos (AEPD) ha impuesto ya numerosas y cuantiosas multas por hacer uso de copia visible cuando se debería haber hecho por copia oculta al enviar un determinado correo electrónico.

Una de las más recientes es una sanción a un pequeño despacho de abogados que deberá pagar una multa de 10.000 euros por infringir el principio de confidencialidad previsto en el Reglamento Europeo de Protección de Datos.

Antes de explicar los hechos que dieron lugar a la sanción, conviene recordar que, bajo el principio de confidencialidad, se establece la obligación para todos los responsables y encargados del tratamiento de adoptar todas las medidas de seguridad necesarias para evitar accesos no autorizados a datos personales.

Los hechos fueron los siguientes: un despacho de abogados envío un email a ocho destinatarios sin tener en cuenta que las direcciones de todos ellos eran accesibles por todos los destinatarios(al haber usado el campo CC) y no en copia oculta (el campo CCO). El e-mail en cuestión trataba sobre un tema con información de la que podríamos calificar como “sensible” puesto que abordaba el tema del “bloqueo de sus cuentas”. Dicha cuestión fue tomada en consideración por la AEPD puesto que lo considera como unaacción negligente no intencional, pero significativa”. No obstante, la multa se vio rebajada de los 10.000 euros propuestos a los 6.000 euros al reconocer el reclamado su culpa y pagarla de forma voluntaria.

¿A qué sanciones se enfrenta mi entidad al incumplir los principios aplicables al tratamiento?

No cabe duda de que no fue una acción malintencionada pero lo cierto es que fue un acto que incumplió uno de los principios fijados por el Reglamento Europeo de Protección de Datos: el principio de confidencialidad.

Y la vulneración de los principios contemplados en el artículo 5 del Reglamento Europeo de Protección de Datos es una infracción de la normativa. En concreto, el RGPD establece en su artículo 83 que las infracciones de los principios del citado artículo 5 “se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: (…)”. Por su parte, la LOPDGDD califica como de infracción “muy grave” las que supongan el incumplimiento de los principios del artículo 5 del Reglamento Europeo.

Por tanto, la premisa es clara, en toda entidad han de respetarse todos y cada uno de los principios de la normativa de protección de datos en todas las acciones que se lleven a cabo y que afecten a datos personales o, dicho de otra manera, ha de cumplirse en todo momento y en cada tratamiento de datos personales con el principio de “licitud, lealtad y transparencia”, con el principio de “minimización”, con el principio de “limitación de la finalidad”, con el principio de “limitación del plazo de conservación”, con el principio de “exactitud”, con el principio de “Accountability” y, por supuesto, con el principio de “integridad y confidencialidad”.