No cabe duda de que el correo electrónico se ha convertido en una herramienta de comunicación y de gestión básica e imprescindible en el día a día de la mayoría de las empresas, pues aporta grandes ventajas en cuanto a la accesibilidad, rapidez y disponibilidad de la información, entre otras.
Cierto es por otra parte, que se ha convertido en una de las fuentes más comunes de ciberataques; por lo que es muy importante que, a nivel organizativo e interno de las entidades, además de establecerse una política acerca de su uso, se conciencie a quienes utilizan las cuentas de correo para enviar y recibir información, es decir, a los empleados.
Desde organismos como la Oficina de Seguridad del Internauta (OSI) o el Instituto Nacional de Ciberseguridad (INCIBE) se elabora con frecuencia material útil en materia de ciberseguridad. En relación con el uso del correo electrónico, por ejemplo (ver aquí), hay que destacar como buenas prácticas las siguientes:
– No abrir correos electrónicos de remitentes desconocidos con documentos adjuntos y tener cuidado al hacer clic en los enlaces incluidos en este tipo de correos.
– Instalar aplicaciones antimalware y activar los filtros antispam.
– Usar siempre contraseñas que sean seguras.
– Evitar utilizar el correo electrónico desde sitios públicos.
– Cifrar el correo electrónico al enviar información confidencial o sensible.
– No publicar direcciones de correo electrónico en la web de la empresa ni en sus redes sociales.
– Nunca responder al correo basura (spam).
– Desactivar el HTML en las cuentas de correo críticas.
– Utilizar la copia oculta o copia de carbón (BCC o CCO) cuando se envíen direcciones a múltiples destinatarios.
Y es esta última práctica en la que vamos a centrar el contenido de esta publicación con motivo de una de las últimas resoluciones (PS/00322/2020) de la Agencia Española de Protección de Datos (AEPD) basada en la reclamación interpuesta por un interesado, al recibir un correo electrónico de un despacho de abogados sin copia oculta en el que aparecían las direcciones de decenas de destinatarios a los que se les informaba sobre el estado de bloqueo de sus cuentas bancarias, incluida la suya.
Como ya hemos hablado en otras ocasiones, (ver publicación), una dirección de correo electrónico se considera dato de carácter personal siempre que identifique directamente a la persona titular de la cuenta, o bien ésta pueda ser fácilmente identificable sin que suponga un esfuerzo desproporcionado en caso de que, por ejemplo, la dirección aparezca junto con otros datos que permitan la identificación o por el propio contenido del mensaje, etc. y en cuyo caso se ha de respetar la normativa aplicable:
- La Ley 34/2002, de servicios de la sociedad de la información y de comercio electrónico (LSSI) en tanto en cuanto las comunicaciones comerciales por correo electrónico son un servicio de la sociedad de la información y la ley establece que éstas deban identificarse como tales, prohibiendo su envío por correo electrónico u otras vías de comunicación electrónica equivalente, sin el consentimiento previo del destinatario.
- El Reglamento General Europeo de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). No es la primera vez que la AEPD sanciona a una entidad por el envío de emails a varios destinatarios sin utilizar la copia oculta al igual que tampoco es la primera vez que la AEPD sanciona a un despacho de abogados por este motivo. Así, por ejemplo, podemos ver como en la Resolución PS/00320/2019, interpuso una multa de 5.000 euros a otro despacho.
En el caso que nos ocupa, la AEPD ha sancionado al despacho con una multa por importe de 10.000 euros, que más tarde, como veremos a continuación, se ha visto reducida a 6.000 euros por pago voluntario.
Pero ¿Qué es lo que tiene en cuenta la AEPD a la hora de sancionar?
Se inicia procedimiento sancionador por parte de nuestra autoridad de control, al considerar el denunciante que se ha producido un ataque a su intimidad por estar visible su dirección de correo electrónico junto a la del resto de los destinatarios.
Además, en esta última ocasión, primeramente, se requirió al despacho para que en el plazo de un mes remitiese a la AEPD información sobre la respuesta que se dio al afectado por los hechos denunciados, las causas que motivaron la incidencia, así como las medidas que se hubieran adoptado. Sin embargo, la entidad reclamada no contestó en el plazo señalado.
El artículo 5 del RGPD establece los principios relativos al tratamiento de los datos, y entre ellos menciona el de integridad y confidencialidad. f) “serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
- El mero hecho de remitir un correo electrónico sin copia oculta a decenas de destinatarios ya constituye una infracción contra lo dispuesto en el señalado artículo 5.1f) del RGPD.
Por otra parte, en virtud del artículo 32 del RGPD “Seguridad del tratamiento”, cabe señalar que:
- El responsable y el encargado del tratamiento han de aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, siempre teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas; y que incluya entre otros:
- a) la seudonimización y el cifrado de datos personales;
- b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- d) un proceso de verificación (que no auditoría), evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- Al evaluar la adecuación del nivel de seguridad se han de tener en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos que pudieran ocasionar daños y perjuicios físicos, materiales o inmateriales.
En esta misma línea, el Considerando 83 del RGPD señala que “el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse”.
- Aunque los preceptos mencionados anteriormente no establecen un listado de las medidas de seguridad que son aplicables en relación con los datos que son objeto de tratamiento, parece claro el hecho de que estamos ante una brecha de seguridad, entendida esta como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos” (artículo 4.12 RGPD).
Por todo lo anteriormente expuesto y en virtud del artículo 72.1a) de la LOPDGDD, la AEPD decidió iniciar procedimiento sancionador contra el despacho de abogados, al encontramos por un lado ante una infracción considerada muy grave y tipificada en el artículo 83.5 a) RGPD, al verse vulnerados los principios establecidos en el artículo 5.1f), y, por otro lado, por infringirse el artículo 32 RGPD tipificado en el artículo 83.4 a) como grave.
Para la infracción del artículo 32 la sanción que correspondería únicamente sería la de apercibimiento, sin embargo, por la infracción del artículo 5.1f), la AEPD impuso una sanción de importe 10.000 euros.
AGRAVANTES
Además, la AEPD considera que procede graduar la sanción a imponer de acuerdo con los criterios establecidos en el artículo 83.2 RGPD:
- Se encuentran afectados identificadores personales básicos (nombre, apellidos, domicilio)
- Estamos ante una acción negligente no intencional, pero significativa
ATENUANTES
Sin embargo, puesto que el reclamado procedió al pago de la sanción en la cuantía de 6000 euros haciendo uso de las reducciones previstas en el Acuerdo de inicio de conformidad con lo dispuesto en el artículo 85 de la Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), se reconoce la responsabilidad de la reclamada, lo que conlleva la renuncia a cualquier acción o recurso en vía administrativa.
Hemos hablado de la copia oculta, pero ¿cómo se debe usar correctamente cuando enviamos un email?
Cuando se inicia el proceso de enviar un correo electrónico, podemos observar diferentes campos:
- Para: es esa persona o personas a las que se envía el email. Esta información es siempre pública y en caso de reenvío en copia, todos los que la reciban podrán ver el destinatario original.
- CC o Copia de carbón: Permite enviar copias de un correo a otros destinatarios además de los principales a los que va dirigido. También es una copia pública, por lo que, tanto el o los destinatarios principales como los usuarios puestos en copia, podrán ver a quién más se le envía el correo.
- CCO o Copia de carbón oculta permite enviar copias de un correo a otros destinatarios además de los principales a los que va dirigido. Es una copia privada, por lo que ni el o los destinatarios principales ni los usuarios puestos en copia podrán ver a quién más se le envía el correo.
Como podemos deducir de lo ya expuesto, esta opción se debe usar para evitar la divulgación de las direcciones de las personas destinatarias del correo electrónico, cuando no se disponga de su consentimiento o cuando no concurra alguna otra circunstancia que permita revelar este dato.
Además, con la utilización de esta opción, no sólo se preserva la confidencialidad del resto de personas destinatarias, sino que también se evitan prácticas de correo basura (spam) o similares.
Aunque cada gestor de correo tiene una interfaz diferente, en todos es muy fácil de usar. En el momento en que se vaya a redactar un email hay que buscar el campo CCO si está en español, o BCC si está en inglés y se colocan las direcciones de los destinatarios, separadas por un punto y coma (;).
A modo de conclusión como hemos visto, en el momento en que enviamos un correo electrónico deja de estar bajo nuestro control desde el momento que pulsamos el botón de “Enviar”, ya que no sabemos si posteriormente es reenviado o publicado por uno de los destinatarios, dejando accesible no solo nuestra dirección de correo sino la de todos los destinatarios.
Por tanto, piénsatelo dos veces antes de agregar «a lo loco» muchas direcciones en tu email y recuerda que cada vez que quieras dirigirte a varios destinatarios, debes introducirlas en el campo «CCO», en lugar del «Para».