Cuidado al adjuntar un archivo

820

Habíamos visto hace unos días que siguen apareciendo sanciones de la Agencia Española de Protección de Datos (AEPD) por no ocultar a los receptores de un correo múltiple. Una variante de peligro en envíos por correo electrónico con múltiples destinatarios es incluir en archivos anexos documentación con datos personales, ya que obviamente ésta será accesible a todos los receptores por igual, vulnerándose así el deber de secreto, como ocurrió en el asunto que a continuación reseñamos.

El procedimiento sancionador PS/00120/2010 se inicia tras la denuncia de un empleado que manifestó a la AEPD que coincidiendo con los reconocimientos médicos anuales que se deben realizar a todos los empleados de la empresa, D. B.B.B. envía un e-mail al conjunto de los trabajadores informando de las citas para realizar el reconocimiento médico así como documentos cumplimentados con los datos personales de cada uno de los trabajadores de la compañía, donde aparecen: apellidos, nombre, sexo, DNI, domicilio, fecha de nacimiento y teléfonos.

El resultado es que cada uno de los receptores del citado envío tuvo acceso a los datos personales del resto de trabajadores, que además pertenecían a dos empresas distintas aunque al compartir propiedad los asuntos laborales tuvieran una gestión centralizada.

Ya que las dos empresas denunciadas tenían sus ficheros inscritos en la AEPD y habían implantado medidas de seguridad, y además se trataba de datos personales de nivel bajo, la AEPD decide que procede imponer las sanciones en su cuantía mínima, en atención al grado de intencionalidad y la naturaleza de los hechos, dado que la difusión de los datos personales en cuestión se limitó a otros trabajadores de cada una de las respectivas empresas, del mismo grupo empresarial.

Por tanto, el Director de la AEPD RESUELVE:

PRIMERO: IMPONER a EMPRESA A una multa de 601,01 € (seiscientos un euros con un céntimo) por la infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma y de conformidad con lo establecido en el artículo 45. 1 y 4 de esa misma Ley Orgánica, en esa cuantía mínima.
SEGUNDO: IMPONER por otra parte a EMPRESA B una multa de 601,01 € (seiscientos un euros con un céntimo) por la infracción también de ese artículo 10 de la LOPD, tipificada como leve en el reiterado artículo 44.2.e) de dicha norma y de conformidad con lo establecido en el artículo 45. 1 y 4 de esa misma Ley Orgánica, en esa cuantía mínima.

Por lo tanto, cada vez que vayas a adjuntar un archivo en un envío por correo electrónico a varios destinatarios debes preguntarte si la documentación incluye datos de carácter personal, y en caso afirmativo, evaluar si todos los receptores pueden tener acceso a esa información sin vulnerar la LOPD.

Cuidado al adjuntar un archivo
Vota este artículo
Compartir

4 Comentarios

  1. Es de las pocas veces que veo que actua este organismo y lo triste es que solo multe con 600€ esta infracion por la divulgacion de informacion personal.

    Recuerdo cuando aparecio la LOPD y como en mi empresa se “corrio” por regularizar los sistemas para adaptarnos ha esta ley…el motivo , la amenaza de posibles sanciones muy elevadas , hasta de 50 millones de las antiguas pesetas por caso/incidencia individual , nos dijeron.

    Para ciertas empresas es mucho mas costos mantener sus sitemas “al dia” que no esos 600€ de multa. En un pais de picaresca reconocida ( y mas aun en temas de dinero)… cuantas empresas tardaran en arriesgarse a recibir una sancion de este tipo si se ahorra toda la infrastructura que conlleva su control y gestion?

    Hasta la SGAE parece mas efectva que este organismo, que si no es bajo denuncia no actua…y cuando actua…no es contundente 🙁

    Esto es solo una opinion… por supuesto

    • Gracias por tu visita y comentario.

      Sobre las sanciones hay de todo. Efectivamente 600€ no es gran cosa para una empresa de cierto tamaño, aunque a un autónomo o microempresa (entre ambos colectivos suponen más del 95% de las personas jurídicas) sí que le puede hacer pupa. De todas formas en este caso hay que tener en cuenta que los datos eran de nivel bajo, que la revelación se produjo en un ámbito muy reducido y que la empresa cumplía al menos los requisitos formales de la LOPD, me parece lógico que sean sancionados con el menor importe posible.

      En lo que sí estoy de acuerdo es en la falta de contundencia de la Agencia en general. Personalmente se me caería la cara de vergüenza dirigiendo un organismo encargado de velar por una ley de rango orgánico que regula un derecho fundamental de los ciudadanos y que después de más de una década apenas cumple el 20% de los que debían hacerlo. Y eso tomando como medida del cumplimiento que tengan los ficheros inscritos en la Agencia, un trámite gratuito y que se hace por internet, que si nos fuésemos a ver medidas de seguridad implantadas, a lo mejor nos quedamos con el 10% siendo optimistas.

      Ciertamente en modos, maneras y ética no hay nada que aprender de la SGAE, pero como dices, en efectividad son unos cracks.

Dejar respuesta