La Agencia Española de Protección de Datos impone una sanción por vulneración del Reglamento General de Protección de Datos (RGPD)
Por Luis Ferrer Abogado – www.luisferrer.abogado
Introducción
Un asilo de ancianos ha sido sancionado por la Agencia Española de Protección de Datos (AEPD) tras el envío masivo de correos electrónicos a los familiares de sus residentes en los que se exponían los nombres, apellidos y direcciones de correo de todos los destinatarios.
El incumplimiento de las normas de protección de datos ha supuesto una vulneración del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), que exigen que las comunicaciones masivas protejan la confidencialidad de los datos personales.
Este caso resalta la importancia de aplicar medidas de seguridad en el envío de correos electrónicos corporativos, especialmente en sectores que manejan información sensible, como el sanitario y asistencial.
Los hechos del caso
🔹 El asilo envió un correo masivo a los familiares de sus residentes con información sobre medidas organizativas y sanitarias.
🔹 En el mensaje, los correos electrónicos de todos los destinatarios eran visibles en la copia del correo enviada.
🔹 La AEPD recibió una denuncia por parte de uno de los afectados, quien alegó que su dirección de correo electrónico había sido expuesta sin su consentimiento.
🔹 Tras la investigación, la AEPD concluyó que la residencia no había aplicado medidas de seguridad adecuadas para garantizar la confidencialidad de los datos personales.
🔹 Se impuso una sanción económica por infracción del RGPD.
Fundamentos Jurídicos de la Sanción
1️⃣ Vulneración del principio de confidencialidad del RGPD
El artículo 5.1.f) del RGPD establece que los datos personales deben ser tratados de manera que se garantice su seguridad y confidencialidad, evitando accesos no autorizados o divulgaciones indebidas.
✔️ El asilo permitió que terceros accedieran a datos personales (correos electrónicos y nombres) sin autorización.
✔️ No utilizó mecanismos de envío masivo seguros, como el uso del campo «CCO» (con copia oculta).
📌 Conclusión: El envío masivo de correos sin medidas de seguridad vulnera la confidencialidad y puede ser sancionado por la AEPD.
2️⃣ Infracción del artículo 32 del RGPD: Falta de medidas de seguridad adecuadas
El artículo 32 del RGPD obliga a los responsables del tratamiento de datos a implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad de la información.
✔️ El asilo no adoptó precauciones mínimas en la gestión de los correos electrónicos.
✔️ La falta de formación del personal en protección de datos contribuyó a la infracción.
📌 Conclusión: No basta con cumplir la normativa en teoría; es esencial que las organizaciones adopten medidas prácticas para evitar filtraciones de datos.
3️⃣ Posible vulneración del deber de información a los afectados
El artículo 13 del RGPD establece que los afectados deben ser informados sobre el tratamiento de sus datos personales, incluyendo el uso de su correo electrónico.
✔️ Los familiares no fueron advertidos de que sus direcciones electrónicas serían compartidas con terceros.
✔️ Esto constituye un incumplimiento del deber de transparencia en el tratamiento de datos.
📌 Conclusión: Las empresas e instituciones deben informar a los afectados sobre el uso de sus datos y garantizar que solo sean accesibles para quienes tienen derecho a conocerlos.
Consecuencias de la Sanción
✅ El asilo deberá pagar una multa económica por vulneración del RGPD.
✅ Se le obliga a adoptar medidas correctivas para evitar futuros incidentes de protección de datos.
✅ Este caso sirve de advertencia para otras residencias y centros sanitarios sobre la importancia de la seguridad en el envío de correos electrónicos.
Conclusión
El caso del asilo sancionado por la AEPD pone de manifiesto la importancia de aplicar medidas de seguridad en la gestión de correos electrónicos masivos para evitar la divulgación indebida de datos personales.
Las organizaciones que tratan información sensible deben:
✔️ Utilizar siempre el campo «CCO» en correos masivos.
✔️ Formar a su personal en protección de datos.
✔️ Establecer protocolos de comunicación que respeten la privacidad.
Desde Luis Ferrer Abogado, recordamos que el cumplimiento del RGPD es esencial para evitar sanciones y proteger la confidencialidad de los datos personales.
📍 Para más información y asesoramiento legal, visita www.luisferrer.abogado.